Célkeresztben a Firefox böngésző jelszavai

forrás Prim Online, 2006. november 24. 19:10
Ön is azok közé tartozik, akik a Firefox alatt a kényelmes és automatikus jelszó megőrzést választják a rendszeres begépelgetés helyett? Félő, hogy ez mégsem annyira jó ötlet - figyelmeztet a VirusBuster hírlevele.
Egy olyan új biztonsági hibát találtak a Mozilla Firefox böngészőben - Reverse Cross-Site Request (RCSR) néven - amely sebezhetőség bárki számára lehetővé teszi az eltárolt jelszavakhoz való hozzájutást - nyilatkozott a Chapin Information Servicest üzemeltető Robert Chapin. Ehhez csak annyi szükséges, hogy az áldozat ellátogasson egy olyan weblog vagy fórum oldalra, ahol a sérülékenységet kihasználó kódot beépítették. Ez az RCSR névvel jelzett támadási módszer mostantól nemcsak a Microsoft Internet Explorer felhasználóit, hanem a kiemelten a Firefox usereket is fenyegeti.

A Firefox jelszókezelő (Password Manager) alkotóeleme egy weboldali kérés formájában elküldött név-jelszó páros segítségével úgy támadható, hogy azt a felhasználó még csak észre sem veszi. Ezért minden internetezőnek - akár Firefox akár Internet Explorer programmal böngészik - azt javasoljuk, vigyázzon, nehogy egy megbízhatónak vélt fórum vagy blog oldalról ezzel a módszerrel meglopják.

Nagyszámú RCSR támadás irányult a MySpace.com oldal felhasználói ellen, erről az első híreket a Netcraft tette közzé még október végén. Ez utóbbi incidens hamis MySpace belépési űrlapokkal igyekezett rávenni a gyanútlan áldozatokat nevük és jelszavuk begépelésére. Chapin szerint a helyzetet csak súlyosbítja, hogy ezeket a formokat teljesen rejtett módon is lehetséges alkalmazni.

Ha elmentjük a jelszavunkat a Firefox segítségével, az könnyen átemelhető lesz egy másik weboldalról egy láthatatlan képhivatkozásra való akaratlan rákattintással. A Mozilla már felvette a hibalistájába az esetet 360493 sorszámmal, és úgy nyilatkoztak, már dolgoznak egy új, javított 2.0.0.1 vagy 2.0.0.2 változaton.

Mint az közismert, Chapin volt az, aki korábban beszámolt arról a sérülékenységről is, amelynek kihasználásával ingyenes és anonim letöltésre nyílt lehetőség az egyébként fizetős Yahoo zene eladási weboldalán.