Firefox漏洞让骇客窃取使用者帐号密码
Firefox漏洞让骇客窃取使用者帐号密码
IThome 2006/11/24

该漏洞存在于Firefox的密码管理工具中，骇客可在一个正当的网站上建立一个要求使用者输入帐号及密码的HTML网页，将使用者输入的帐号及密码传送到骇客的网站。

资讯服务业者Chapin在近日公布了一个存在Firefox浏览器中的漏洞，并指出骇客已利用该漏洞窃取使用者在知名社交网站MySpace.com上的帐号与密码。

Chapin Information Services总裁Robert Chapin表示，该漏洞存在于Firefox的密码管理工具中，骇客可先在一个正当的网站上建立一个要求使用者输入帐号及密码的HTML网页，之后骇客透过Firefox的漏洞将使用者输入的帐号及密码传送到骇客的网站上。

事实上，今年10月底骇客就在MySpace.com上建立了这样的网页，只要使用者透过Firefox浏览MySpace.com，并在伪造的帐号输入网页上填上自己的资料，这些资料就会被传送到其他网站上。

Robert Chapin说明，这是因为Firefox的密码管理工具在要传送密码资讯时没有充份的全面检查。以骇客透过MySpace.com的攻击为例， Firefox可以侦测到此一要求使用者输入密码及帐号的网页是否来自于MySpace.com伺服器，但却无法确认那些个人资讯是否被传送到 MySpace.com。

Robert Chapin将此种攻击称为反向跨站要求（Reverse Cross-Site Request，RCSR），并在网路上示范了如何进行该攻击。

包括Firefox 1.5.0.8及2.0版都受到该漏洞的影响，目前Mozilla已着手进行Firefox 2.0的修补程式，资安业者Secunia则建议使用者可以关闭Firefox中的密码自动储存功能。

此外，Robert Chapin说微软的IE也可能受到影响，因为它一样无法保证那一要求使用者提供密码及密码传输的伺服器是否为同一个；不过，IE比Firefox好一点的是，IE并不会自动填入预存的使用者帐号及密码，而Firefox则会。