Chyba vo Firefoxe sprístupňuje uložené heslá

DSL.sk, 22.11.2006

V najnovšom Firefoxe 2.0 sa nachádza bezpečnostná chyba, ktorá umožňuje útočníkovi získať prihlasovacie mená a heslá používané vo formulároch uložené v prehliadači používateľa.

Útočník môže získať mená a heslá vypĺňané užívateľom na ľubovoľnej stránke danej domény bez súčinnosti tohto užívateľa, pokiaľ vie podvrhnúť užívateľovi stránku na ľubovoľnej inej adrese rovnakej domény.

Chyba je hromadne zneužívaná napríklad na www.myspace.com, kde si užívatelia môžu vytvárať vlastné stránky na rovnakej doméne ako hlavný prihlasovací formulár stránok.

Chybu je možné zneužiť na ľubovoľnej stránke, kde vie útočník umiestniť neodfiltrovaný HTML kód, napríklad aj v komentári.

Firefox totiž nekontroluje presnú URL stránky a automaticky vypĺňa heslá do formuláru na stránke len pri zhode domény. Firefox zároveň nekontroluje, či je formulár viditeľný a tak automaticky vyplní prihlasovacie údaje aj do skrytého formulára.

Formulár môže byť navyše automaticky odoslaný alebo odoslaný napríklad po kliknutí užívateľa kdekoľvek na stránke a prihlasovacie údaje zaslané na server útočníka. V prípade MySpace bol zaznamenaný útok automaticky presmerovaný opäť na www.myspace.com, pre užívateľa bol tak plne transparentný.

Útok na MySpace zaznamenal ako prvý užívateľ anti-phishigového filtru od Netcraftu, detailnejšie ho analyzoval Robert Chapin, bližšie informácie je možné nájsť na stránkach Bugzilly tu.

Secunia pridelila chybe druhý stupeň závažnosti z piatich.

Do doby opravenia chyby je odporúčané nepoužívať automatické vyplňovanie prihlasovacích mien a hesiel na stránkach, u ktorých hrozí možnosť podvrhnutia HTML kódu útočníkom na inej stránke rovnakej domény, vrátane vymazania uložených hesiel pre tieto stránky.

Použiť je možné aj rozšírenie Master Password Timeout, ktoré bude pri nastavenom hlavnom hesle po definovanom čase vyžadovať od užívateľa opätovné prihlásenie a zabráni tak transparentnému vyplneniu mena a hesla na stránkach podvrhnutých útočníkom.




Najnovšie články:



Diskusia:

bubu Od: bubu | Pridané: 22.11.2006 13:34 Firefox "FTW"...je to crap Odpovedať Hodnotiť:

inspector Od: inspector | Pridané: 22.11.2006 13:42 yes WTF - ale je lepsie si pass pametat lol Odpovedať Hodnotiť:

rad Od: rad | Pridané: 22.11.2006 13:46 akoze pouzivam FF ale uz ma sere. IE tiez nie je nico skvele, ostava ta opera... Odpovedať Hodnotiť:

forcer Od: forcer | Pridané: 22.11.2006 14:17 na operu budes nadavat tiez - renderovanie, NTLM autentifikacia.. ziadny browser nie je dokonaly, cim vacsia popularita - tym viac odhalenych bugov, treba sa s tym zmierit a nehladat uberleet riesenia. firefox ma velmi fajn komunitu a ver mi ze tento bug doriesia za zopar hodin. Odpovedať Hodnotiť:

RemuS Od: RemuS | Pridané: 23.11.2006 10:39 sprostost, opera renderuje absolutne podla standardov Odpovedať Hodnotiť:

kozec Od: kozec | Pridané: 23.11.2006 12:13 nemas pravdu, aj ked sa zvacsa trafi, obcas predvedie celkom pekny efekt, a najkrajsi su duchovia pri oznacovani alebo rolovani koleckom. Odpovedať Hodnotiť:

hehe Od: hehe | Pridané: 23.11.2006 12:39 aky duchovia... ty si co pichas?...vodu z pracky??? Odpovedať Hodnotiť:

kozec Od: kozec | Pridané: 23.11.2006 15:59 Text posunuty o par pixelov hore, text zobrazeny ako "oznaceny" aj napriek tomu ze uz oznaceny nieje, dost nezvycajny efekt okolo WMP pluginu, pomliazdene pismena pri zvacseni ... Nieje toho malo, ale nieje to nic tragicke, zvacsa staci len odrolovat text hore a naspat alebo inac vynutit prekreslenie a vsetko je zasa ok. Odpovedať Hodnotiť:

TOM Od: TOM | Pridané: 24.11.2006 20:06 ... najlepsie - ak niekto nechape - urobit vola z druheho... Nestojis mi za odpoved sice, no pre ostatnych - mam odskusanych vela browserov a nejake nadstavby... Operu pouzivam najviac koli rychlosti a moznostiam (inak nastavenu, po instalacii nieje nic moc no potom po nastaveniach parada) no naozaj ma muchy-niektore stranky nemoze (pouzivatelovi je prd platne ciou vinou...) a na niektorych strankach (napr goglmail) predvadza divy v niektorych nastaveniach a pri zoome. Skoda, inak by som nemusel obcas zapinat to IE... Odpovedať Hodnotiť:

TOM Od: TOM | Pridané: 24.11.2006 20:08 To patrilo pre "hehe" ... Odpovedať Hodnotiť:

hmm Od: hmm | Pridané: 22.11.2006 14:03 ano pokial nemas 200 hesiel jak ja :P :D Odpovedať Hodnotiť:

otaznik Od: otaznik | Pridané: 22.11.2006 14:17 Potvrdzuje sa ze IE nie je az taky shit, len sa na neho hackeri viac zameriavaju, lebo je najpouzivanejsi. Teraz ked stupa popularita Firefoxu, bude aj pocet takychto chyb stupat. A "in" bude Opera... a ked bude firefox plny kritickych chyb a utocit sa zacne na rozmahajucu sa Operu, pride Bill Gates s Internet Explolerom 8 a zachrani nam zadky. Odpovedať Hodnotiť:

tony Od: tony | Pridané: 22.11.2006 14:28 zachrani s IE 8? To skor pride Stalone a odvrati pad meteoritu :-D Odpovedať Hodnotiť:

eminem Od: eminem | Pridané: 22.11.2006 15:38 opera bude in? nikdy, je to shit.. Odpovedať Hodnotiť:

mak Od: mak | Pridané: 23.11.2006 0:43 napis KNIHU. Odpovedať Hodnotiť:

Fero Od: Fero | Pridané: 22.11.2006 17:31 IE je najhorsi prehliadac aky sa kedy dostal na svetlo sveta nestandardne nespracovava len css,html,xhtml ale aj javascripty a co s tyka DOM tak to radsej pomlcim. Vyzera to tak ze microsoft pouziva iny standard ako je standard w3c. Webdesignery mi daju za pravdu, ty co stranky nikdy nepisali tak nech radsej mlcia. Odpovedať Hodnotiť:

toxx Od: toxx | Pridané: 22.11.2006 18:43 Webdesigneri by bez beznych uzivatelov nemali pracu, takze ich nazor je dolezity. Odpovedať Hodnotiť:

Fero Od: Fero | Pridané: 22.11.2006 20:54 To ze existuje IE ktore ma renderovanie rovnake od prvej verzie brzdi rozvoj internetu pretoze pisat stranku tak aby ju uracil zobrazit spravne aj internet explorer trva minimalne dvakrat dlhsie. Keby IE podporoval standardy w3c tak ako geko, opera a safari tak by islo pisat stranky cistejsie a rychlejsie. Odpovedať Hodnotiť:

Asta-killer Od: Asta-killer | Pridané: 22.11.2006 14:43 Príspevok bol zmazaný pre nevhodný a/alebo vulgárny obsah. Odpovedať Hodnotiť:

gtf Od: gtf | Pridané: 22.11.2006 14:56 pozrime sa jaky nervozny a vulgarny :) Odpovedať Hodnotiť:

Smith Od: Smith | Pridané: 22.11.2006 15:00 a este mudry :) Odpovedať Hodnotiť:

PH Od: PH | Pridané: 22.11.2006 15:16 Dnes o chybe informovala Secunia a mnohé ďalšie zdroje. U bezpečnostných chýb to tak zvyčajne býva, že sú verejne známe a publikované neskôr, ako sú objavené. Čo sa týka tejto, samozrejme, že sa dá na ňu pozerať ako na funkčnosť, keďže ale zároveň umožňuje veľmi efektívny a podľa prvých správ aj veľmi rozšírený útok, je považovaná napríklad v spojení s automatickým vypĺňaním aj skrytého formulára a automatickým odoslaním automaticky vyplneného formulára za bezpečnostnú chybu so stupňom závažnosti 2/5 od Secunie. Odpovedať Hodnotiť:

eee Od: eee | Pridané: 22.11.2006 15:35 "U bezpečnostných chýb to tak zvyčajne býva, že sú verejne známe a publikované neskôr, ako sú objavené." Myslíš že existuje chyba, ktorá bola publikovaná skôr ako bola objavená? Odpovedať Hodnotiť:

Asta-killer Od: Asta-killer | Pridané: 22.11.2006 16:40 Lenze tato chyba bola publikovana este na jar tohto roka dokonca na blogu sme.sk.Lenze nikto na to nebral ohlad, kedze to bol len nejaky bevyznamny slovak... Secunia aj s Vami sa moze akurat strcit do zadku. Odpovedať Hodnotiť:

salmek Od: salmek | Pridané: 22.11.2006 16:57 to bol dobry for. ty si co za trt-deb-magorka? to ako co cakas, ked si zverejnil nejaku informaciu na stranke, ktoru citaju sekretarky? ze ti zavola bill gates a pogratuluje ti, ze si nasiel chybu u jeho konkurenta, alebo? Odpovedať Hodnotiť:

Chyba vo Firefoxe Od: Chyba vo Firefoxe | Pridané: 22.11.2006 16:55 Chyba vo Firefoxe sprístupňuje uložené heslá - Este ze tento shit nepouzivam, ale super cool Operu ! Odpovedať Hodnotiť:

uuf Od: uuf | Pridané: 22.11.2006 17:31 opera je na pizzu, hoci pizza je dobrá!!!!!!!!!! Odpovedať Hodnotiť:

Od: | Pridané: 22.11.2006 17:57 :) ma vždy prekvapuje koľko ľudí, hlavne v škole, si vo FF s radosťou dá uložiť heslo... ale toto je o čomsi inom :) Odpovedať Hodnotiť:

njn Od: njn | Pridané: 22.11.2006 18:53 jj, a hlavne ICQ, len si vyberam zakoho sa prihlasim :D seci ulozene hesla. To nie jak ja, najprv kontrolujem ci nebezi nejaky keylogger, potom sa prihlasim ako guest a potom ICQ odinstalujem :D bezpecnost nadovsetko... Odpovedať Hodnotiť:

tycho Od: tycho | Pridané: 22.11.2006 20:12 :o) hej, väčšinou nie je problém s heslom, stačí vedieť nick.. a ten s radosťou skoro každý oznámi ... a inak s tebou ale riadne hýbe PARANOIA :o) :o) Odpovedať Hodnotiť:

rigor mortis Od: rigor mortis | Pridané: 22.11.2006 21:23 to, že jsem paranoidní ješte neznamená, že po mne nejedou Odpovedať Hodnotiť:

lepke Od: lepke | Pridané: 22.11.2006 23:14 vsade su diery a su nato aby sa hladali, no a co ked FIREFOX, ju ma nepouzvam ho stale idem na IE7 ale stahujem cez FIREFOX takze vieme a nech si hesla beru Odpovedať Hodnotiť:

tono Od: tono | Pridané: 23.11.2006 7:24 co nevidim za chvalu o tom koko_skom browseri zasa ja som pisal ze pridem a vas vysmejem vi chudence deturence co pouzivaju lahke sra_ky miesto toho aby pohli tymi sp_ostymi hlavami se_iem na vas ja mam operu na ktoru som pysny a hrdy ze nema tolko bugov ako ta pic_vina ktoru uplne ale upne je_em ku_va fuj este taka hruba chybicka do pi_i skur_enej vy_ebanej na zeby vase hesla hackli alebo crackli aby boli dalsi spokojny len si pouzivate ten shit aby ste neosp_osteli este viac chudata fck the firefox Odpovedať Hodnotiť:

KocuR Od: KocuR | Pridané: 23.11.2006 9:36 hmm... príspevok plný intelektu :D Odpovedať Hodnotiť:

gastan Od: gastan | Pridané: 23.11.2006 12:44 ...a vybranych slov... Odpovedať Hodnotiť:

Asta-killer Od: Asta-killer | Pridané: 23.11.2006 17:39 Uz konecne vieme, ze Opera je pre debilov. Odpovedať Hodnotiť:

Tee Od: Tee | Pridané: 23.11.2006 13:36 fuuuha...no konecne viem, ze pre aku intelektualnu skupinu ludi tu Operu vlastne spravili...Pekne Tonko, som rad ze sa ti paci:D fuj fuj FFX! myslim, ze si na tento den dlho cakal, tak ti v mene vsetky FF userov gratulujem... Odpovedať Hodnotiť:

jozo Od: jozo | Pridané: 23.11.2006 16:00 tonko, keby sa opera rozsirila potom by zacali ist utoky aj na nu a potom by sa ukazalo ze je to skutocne sra-ka a ze ju pouzivaju len dementi Odpovedať Hodnotiť:

tono Od: tono | Pridané: 23.11.2006 18:44 si myslite ze tym ze aky intelekti maju operu nainstalovanu ma dose_iete asi nie moji zlati pretoze ste hlupy jak ho_na a jozinko ty sa spamataj lebo utoky nie su konane len na ff opera je nieco ine ako je ff pretoze ff a ie su na chlp rovnake sra_ky s rovnakymi skriptami a vsetkym moznym este opera rulez ff platte za svoje hluposti pisem tak preto lebo ma uz uplne ser_ete s tymi vasimy chvalami o tej hovadine Odpovedať Hodnotiť:

Asta-killer Od: Asta-killer | Pridané: 23.11.2006 23:54 este vacsi blbec nez sme dufali :) Odpovedať Hodnotiť:

Tee Od: Tee | Pridané: 24.11.2006 2:32 asi tak Asta;) Tono, kolko mas rokov? Tu mozno ani nejde tak o intelekt...ja som inak napr tiez uplne hovado:D Len ma udivuje, ze ta tak seru nejake chváli na FF...zda sa mi to dost zaostale...tvoj nazor ti nikto nebere, len by si si mal uvedomit, ze ten tvoj prvy prispevok je total trapny...tak asi tak. Mi to uz pripada, ze vy co ficite na opere sa zdruzujete do nejakych sekt, kde vam vymyvaju mozgy, zakazuju kontakt s uzivatelmi inych browserov a ked uz k nejakemu kontaktu nahodou dojde, tak aj na to v opere mysleli a mate integrac v sosovici na pravom uchu, ktory vymysleli speci pre taketo situacie...sluzi na zapamatanie legendarnej vety "opera rulez"...idem spat, hawk Odpovedať Hodnotiť:

tono Od: tono | Pridané: 24.11.2006 7:35 hahahahahahahahahahahahahahahahahahahahaha hahahahahahahahahahahahahahahahahahahahaha hahahahahahahahahahahahahahahahahahahahaha velmi dobre na tom som sa vazne pobavil dakujem Odpovedať Hodnotiť:

Tee Od: Tee | Pridané: 24.11.2006 14:11 pre teba vsetko:D Odpovedať Hodnotiť:

tono Od: tono | Pridané: 24.11.2006 21:18 :p teraz vazne k comu je ten firefox ja som ho mal pekny rok a az po nom som presiel na operu o ie som potom uz nezakopol a teraz ho mam odobraty zo systemu pointa je v tom ze ie a ff je v podstate jedno a to iste otvara nove okna zerie viac pamate ovladanie je rovnake mozno tie mouse gestures je nieco ine a jedine plus su widgety a ostatne funkcie ktore nie su vynimocne a potrebne opera je vazne stabilny browser a pri navireni sluzi ako pasca pre virus a nesprava sa ako stroj z ktoreho letia virusi ako z pukancovej nadoby bez poklopu ff mava velke diery ktore vedia velmi pekne uskodit chce to len vymaknut daneho uzivatela a potom uz nepomoze nic zalohu moze robit jedine v dos pred tym nez cely system preinstaluje a to vobec nezartujem este raz ie a ff je v podstate rovnaky engine ako doom 1 a doom 2 a opera je nieco ako doom 3 hahahahahahahahahahahahahahahahahahaha Odpovedať Hodnotiť:

Tee Od: Tee | Pridané: 25.11.2006 11:19 podla mna je kazdy browser v podstate to iste...som rad ze si napisal konecne nejaky intelogentny prispevok...inak FF neotvara nove okna(ak myslis pop-up) a ak myslis normal nove okna, tak tie otvara v taboch...Mozno je to v tvojich zlych skusenostiach, ale ja vazne nemozem nic povedat na FF, nikdy mi nespadol, vsetko mi zobrazi, ma super addony...pre mna je proste dokonaly...ale hovorim ze pre mna...pre teba to moze byt shit...100 ludi, 100 nazorov... Odpovedať Hodnotiť:

tono Od: tono | Pridané: 26.11.2006 6:24 ono to bude tym ze naposledy som ff pouzival neviem kedy mozno dva roky len som velmi rad ze je tomu tak pri tvojom uzivani je zrejme ten browser bezpecny ale skus chodit na warez stranky kde nemozes subor stiahnut bez vypnuteho fw integracia ff do win je silnejsia ako u opery Odpovedať Hodnotiť:

.jx Od: .jx | Pridané: 26.11.2006 11:48 opera nepada?! hahaaa.. :) sice mam ten prehliadac rad tak isto ako ff.... ale skus si zaplnit disk \"c\"....uplne nadoraz, proste 0b free....a potom skus nieco robit w tej twojej opere ;) robi to uz od verzie 7.5 a dost casto sa stalo, ze som si to newsimol & opera ahoooj..uplne sa zosype...ale ff to w pohode zwlada ;) robi to aj v9.1 Odpovedať Hodnotiť:

.jx Od: .jx | Pridané: 26.11.2006 11:55 ale zase na druhej strane ma opera dost welku wyhodu, ze tak nezere ram.....tie iste taby som otworil w nej aj w ff... opera zaberala okolo 70MB.. ale firefox 293MB :) z dalsieho uhla pohladu je ff postatne rychlejsi...teda idu na nom skripty podstatne rychlejsie ako na opere, a to mnozstwo pluginow je tiez wyhoda... ff wychadza wzdy ako winner :) a tento pwd bug je fakt malickost, kt. nema ziaden wyznam pre userow, kt. w ziwote neulozili heslo Odpovedať Hodnotiť:

srobik Od: srobik | Pridané: 26.11.2006 16:19 ale FF je totalne na pikacu...Wed si ho otvorim, dam si asi zo 20 tab-ov a hned 100% zatazenie procaku, nejde vobec prepinat medzi tabmi, jednine CTRL+TAB/ CTRL+SHIFT+TAB , tak isto v tych neskorsich tab-och uz nezobrazuje ani URL adresu...neda sa prepinat medzi oknami...a ked nejake okno zatvaram, tak mi disk hrabe asi 20 minut... proste je to lol...no co vam na to poviem... s operou sa mi to este nikdy nestalo.... Odpovedať Hodnotiť:

absinth Od: absinth | Pridané: 29.11.2006 17:22 ja neviem co vy mate za systemy, aj ked robim neviem aku evc mam otvorenyx max 10tabov a v pohodke si faxcim a teraz len kvoli vam som si otvoril 15 a cekol kolko ramky a je to 100MB...a uplne prekvapujuco mi tu nic nemrzne a prepinam si taby pomocou mysky...wau :D fakt neviem ako je to v opere ale skus si to otvori v IE a budes rad ked pohnes myskou ;) btw mam 512DDRII len pre info pretoze aj v tom je rozdiel kolko ramky ma dany uzivatel... a uz sa konecne prestante srat ci opera alebo FF..akzdy ma to svoje...aj tak sme vsetci loosers lebo by sme mali pouzivat linux a ne winshit takze asi tak ;) Odpovedať Hodnotiť:

Pridať komentár