yumr

【IT專家網獨家】以色列安全專家Aviv Raff發現火狐瀏覽器Firefox處理顯示身份識別對話框的方式中存在一個安全漏洞，能夠讓釣魚攻擊者獲得用戶名和口令等信息。限制訪問網站的基本方法是要求提供用戶名和口令。這個身份識別對話框在遠程實例名稱「Realm」(區域)的旁邊，還顯示有關發出這個身份識別請求的服務器的信息。火狐瀏覽器顯示這個「區域」的方式上似乎有些漫不經心。安全人員稱，任何人使用一個引號和空格鍵都可以製作一個對話框，欺騙用戶相信他們看到的是一個可信賴的網站，儘管這個對話框實際上是來自一個釣魚網站。

　　Raff製作了一個視頻文件，在他的網站上演示這個問題。要成功地實施攻擊，受害者必須要點擊惡意網站上的一個特別製作的鏈接。但是，受害者不會明顯地感覺到攻擊的發生。例如，一個看起來好像連接到亞馬遜網站的一個圖書列表的無害的MySpace網頁可能會欺騙用戶相信這個由惡意服務器發出的假冒的登錄對話框是真實的。不過，這個修改的登錄程序應該使用戶懷疑有些事情可能不對。

　　這篇報告稱，這個安全漏洞影響到火狐2.0.0.11版瀏覽器軟件，並且可能影響到早期版本的火狐瀏覽器。其它Mozilla基金會的產品也可能受到影響。目前還沒有修復這個安全漏洞的補丁。Raff建議用戶不要想顯示這種對話框的網站輸入用戶名和口令信息。

[ 本帖最後由 yumr 於 2008-1-5 09:51 編輯 ]