廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 2212 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
Firefox漏洞讓駭客竊取使用者帳號密碼
Firefox漏洞讓駭客竊取使用者帳號密碼
Firefox漏洞讓駭客竊取使用者帳號密碼
IThome 2006/11/24

該漏洞存在於Firefox的密碼管理工具中,駭客可在一個正當的網站上建立一個要求使用者輸入帳號及密碼的HTML網頁,將使用者輸入的帳號及密碼傳送到駭客的網站。

資訊服務業者Chapin在近日公布了一個存在Firefox瀏覽器中的漏洞,並指出駭客已利用該漏洞竊取使用者在知名社交網站MySpace.com上的帳號與密碼。

Chapin Information Services總裁Robert Chapin表示,該漏洞存在於Firefox的密碼管理工具中,駭客可先在一個正當的網站上建立一個要求使用者輸入帳號及密碼的HTML網頁,之後駭客透過Firefox的漏洞將使用者輸入的帳號及密碼傳送到駭客的網站上。

事實上,今年10月底駭客就在MySpace.com上建立了這樣的網頁,只要使用者透過Firefox瀏覽MySpace.com,並在偽造的帳號輸入網頁上填上自己的資料,這些資料就會被傳送到其他網站上。

Robert Chapin說明,這是因為Firefox的密碼管理工具在要傳送密碼資訊時沒有充份的全面檢查。以駭客透過MySpace.com的攻擊為例, Firefox可以偵測到此一要求使用者輸入密碼及帳號的網頁是否來自於MySpace.com伺服器,但卻無法確認那些個人資訊是否被傳送到 MySpace.com。

Robert Chapin將此種攻擊稱為反向跨站要求(Reverse Cross-Site Request,RCSR),並在網路上示範了如何進行該攻擊。

包括Firefox 1.5.0.8及2.0版都受到該漏洞的影響,目前Mozilla已著手進行Firefox 2.0的修補程式,資安業者Secunia則建議使用者可以關閉Firefox中的密碼自動儲存功能。

此外,Robert Chapin說微軟的IE也可能受到影響,因為它一樣無法保證那一要求使用者提供密碼及密碼傳輸的伺服器是否為同一個;不過,IE比Firefox好一點的是,IE並不會自動填入預存的使用者帳號及密碼,而Firefox則會。



爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:臺灣和信超媒體寬帶網 | Posted:2006-11-27 00:29 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.070613 second(s),query:15 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言