Błąd w Firefoksie 2.0 – uwaga na menedżer haseł

Błąd w Firefoksie 2.0 – uwaga na menedżer haseł

    przez -
    0 221
    Mozilla Firefox
    Mozilla Foundation poinformowała o nowo odkrytym błędzie w przeglądarce Firefox. Błąd dotyczy menadżera zapamiętywanych haseł. W pewnych warunkach może być on wykorzystany do kradzieży takich danych jak nazwa użytkownika i hasło. Dopóki producent nie wyda poprawki, warto zastosować tymczasowe rozwiązanie – nie zapamiętywać haseł w przeglądarce.

    Błąd dotyczy sposobu zarządzania hasłami przez menedżer haseł.. Zapamiętane hasło w przeglądarce jest przechowywane dla całej domeny. Kradzież hasła może nastąpić w przypadku kiedy złodziej założy sobie stronę w takiej samej domenie. Możliwe jest to np w wielu serwisach społecznościowych.

    Sam atak polega na skierowaniu użytkownika na fałszywą stronę, która pobierze login i hasło zapamiętany dla danej domeny. W dodatku taki formularz może być ukryty. Wtedy sam atak będzie trudny do wykrycia. Metoda takiego ataku została określona mianem Reverse Cross-Site Request (RCSR). Więcej na jej temat oraz sam sposób działania można obejrzeć na stronie Roberta Chapina – odkrywcy błędu oraz autora kodu proof-of-concept. Na stronie możemy przetestować podatność swojej przeglądarki na tego typu atak.

    Na razie nie została wydana łatka. Zalecane jest zatem przestanie korzystania z menadżera haseł. Ewentualnie można pobrać rozszerzenie Master Password Timeout, które sprawi że przed wprowadzeniem danych do formularza zostanie wyświetlone okno z ostrzeżeniem.