사용자를 피싱 공격에 노출시킬 수 있는 최신 버전의 Firefox 2에서 보안 취약점이 발견되었습니다.
브라우저 버전 2.0.0.11에 영향을 미치는 이 결함은 가짜 로그인 대화 상자를 생성하여 사용자를 속여 온라인 서비스의 비밀번호를 공개하도록 허용합니다.
Firefox는 웹 서버로부터 401 상태 코드를 수신할 때마다 인증 대화 상자를 표시합니다. 이는 인증이 실패했거나 아직 발생하지 않았음을 나타냅니다. 이 경우 브라우저는 대화 상자에 Realm 값이라는 변수를 표시합니다. 이는 합법적인 사이트에서 온 것처럼 보이도록 위조할 수 있습니다.
“Firefox는 “WWW-Authenticate” 헤더 영역 값에서 마지막 큰따옴표(“) 뒤에 문자를 표시하지 않지만 작은따옴표(’)와 공백을 삭제하는 데 실패합니다. 이를 통해 공격자는 특수하게 조작된 Realm 값을 생성할 수 있습니다. 인증 대화 상자는 신뢰할 수 있는 웹 사이트에서 나왔습니다."라고 결함을 발견한 연구원인 Aviv Raff는 다음과 같이 말합니다. 그의 개인 블로그.
Raff는 결함을 시연하는 비디오를 게시했습니다. 유튜브, 결함이 패치될 때까지 이러한 대화 상자를 표시하는 사이트에 사용자 이름이나 비밀번호를 제공하지 말 것을 권고합니다.
Mozilla는 지난 달 Firefox에서 이제 사용자 1억 2,500만 명, 비록 얼마나 많은 사람들이 이 보안 위협의 영향을 받을지는 알 수 없습니다. Mozilla는 이 취약점을 인지하고 있으며 현재 해당 문제를 조사하고 있습니다.
우리는 CES 2008의 최신 기술 소식을 전하기 위해 이번 주 라스베거스를 방문했습니다. CES 미니사이트.
