Firefox vulnerabil la atacurile de tip spoofing
4 January 2008 19:08
O hiba serioasa legata de modul in care Firefox administreaza log-on-urile poate fi folosita de catre hotii de indentitati pentru a afla parole ale utilizatorilor, noteaza un cercetator in securitate.
Aviv Raff, un cercetator israelian cunoscut in special pentru monitorizarea slabiciunilor din browsere, a dezvaluit vulnerabilitatea privind pericolul de spoofing pentru Firefox pe blogul personal, postand totodata si un clip demonstrativ.
Raff a subliniat o pereche de vectori de atac posibila. Unul se bazeaza pe o pagina web malitioasa ce a inclus un link catre o alta pagina web de incredere - de exemplu, o banca recunoscuta, sau un serviciu de email, cum ar fi Gmail sau Hotmail - care atunci cand este activat printr-un simplu clic afiseaza o fereastra de autentificare. In background, totusi, autorul atacului va fi realizat un script ce exploateaza vulnerabilitatea Firefox pentru a redirectiona numele de utilizator si parola introduse catre serverul hackerului, nu catre destinatia evidentiata initial.
Alternativ, o imagine falsificata poate fi trimisa prin email sau integrata intr-un blog, iar odata ce utilizatorul face clic pe ea ii va aparea o fereastra de autentificare aparent legitima.
“Pana cand Mozilla elimina aceasta vulnerabilitate, recomand evitarea folosirii credentialelor pe paginile web ce afiseaza o astfel de fereastra de autentificare,” a declarat Raff pe blogul sau.
Ultimul patch pentru Firefox a fost finalizat la sfarsitul lunii Noiembrie, cand browserul a fost actualizat la versiunea 2.0.0.11. Directorul de securitate de la Mozilla, Window Snyder, a declarat ca echipa sa investigheaza problema semnalata de catre Raff.
feed principal
Loading ...