|
|
|
#1
2006-11-23, 02:19 PM
|
||||
|
||||
Firefox、IE易受假登入頁面呼
CNET新聞專區:Tom Espiner
23/11/2006 原文網址 : http://taiwan.cnet.com/news/software...0112008,00.htm Mozilla的Firefox 2與微軟Internet Explorer 7瀏覽器有安全漏洞,可能讓駭客鑽漏洞盜取使用者密碼。 這種安全漏洞稱為「反向跨站請求」(reverse cross-site request;簡稱RCSR),由Robert Chapin最先發現。根據Chapin Information Services (CIS)網站,此漏洞可能讓駭客透過偽造的登入頁面竊取使用者名稱與密碼。Firefox密碼管理員會自動輸入任何預存的密碼及使用者名稱,隨後資料被自動傳至駭客的電腦,使用者毫不知情。 Chapin表示,已有人把這個安全漏洞的攻擊程式用在社交網站MySpace.com上,凡瀏覽允許網友加入自編HTML程式碼的部落格或公共論壇者,都可能受影響。 Chapin說:「Firefox和IE的使用者必須留意,造訪所信賴的部落格和論壇網站時,個人資料可能因此而遭到竊取。」 發現MySpace上已有人利用此漏洞的資安公司Netcraft表示,造假的登入頁面正架設在自家的伺服器上。 CIS指出,由於網頁未顯示任何外來內容的跡象,例如XSS (cross-site scripting)或「開放式重新導向」(open redirects),網頁顯得「似乎可以信任,就連安全警覺性高的使用者也可能受害」。 這種攻擊從簡介頁面(profile page)發動攻擊,用特製的HTML隱藏正宗的MySpace內容,轉為顯示自製的登入表格。 Chapin拍出,RCSR攻擊比XSS攻擊更容易成功,因為不論是IE或Firefox,都不會在使用者傳出填寫資料之前,先檢查表格資料會傳往何處。瀏覽器不會示警,因為駭客是在受信任的網站上鑽這種安全漏洞。 兩周前,CIS即通知Mozilla說,Firefox網頁瀏覽器會自動在RCSR表格填入預存的使用者名稱與密碼。這類攻擊在Firefox瀏覽器得逞的機率比較高,因為IE瀏覽器不會自動填入預存的使用者名稱和密碼,除非RCSR表格與正宗的登入表格都出現在同一個網頁上。 Mozilla尚未釋出修補程式。該組織據說已著手準備Firefox 2的修補程式,但目前尚不知舊版瀏覽器是否也受影響。 資安公司Secunia建議,使用者宜關閉Firefox個人偏好選項中的「記憶網站登入密碼」(Remember passwords for sites)功能。 要利用這個安全漏洞,駭客必須在信任的網站上偽造一個登入表格。因此,CIS建議,所有網管人員檢查自己的伺服器程式碼是否被摻入XSS和RCSR,加密網站的管理員尤其要小心。 CIS網站上的公告說:「這些攻擊能有效入侵有防火牆保護的本地網路伺服器(LNS)和 HTTPS位址,因為駭客不需要直接存取。」(唐慧文/譯) 
|
