V najnovšej verzii Firefoxu 2 bola odhalená bezpečnostná chyba, ktorá by mohla používateľov vystaviť útokom phishingu.
Chyba, ktorá postihuje verziu prehliadača 2.0.0.11, umožňuje vytvorenie falošného prihlasovacieho dialógového okna, aby oklamalo používateľov, aby prezradili heslá pre online služby.
Firefox zobrazí dialógové okno overenia vždy, keď z webového servera dostane stavový kód 401 – čo znamená, že overenie buď zlyhalo, alebo ešte neprebehlo. V tomto prípade prehliadač zobrazí v dialógovom okne premennú s názvom Realm value, ktorá môže byť sfalšovaná, aby sa zdalo, že pochádza z legitímnej stránky.
„Zatiaľ čo Firefox nezobrazuje znaky v hlavičke „WWW-Authenticate“ hodnotu Realm po posledných dvojitých úvodzovkách (“), nedokáže vyčistiť jednoduché úvodzovky (‘) a medzery. To umožňuje útočníkovi vytvoriť špeciálne vytvorenú hodnotu Realm, ktorá bude vyzerať ako keby autentifikačný dialóg prišiel z dôveryhodnej webovej stránky,“ hovorí Aviv Raff, výskumník, ktorý objavil chybu jeho osobný blog.
Raff zverejnil video demonštrácie chyby na YouTubea odporúča, aby používatelia neposkytovali svoje používateľské meno ani heslo stránkam, ktoré zobrazujú takéto dialógové okno, kým nebude chyba opravená.
Mozilla minulý mesiac oznámila, že Firefox už má 125 miliónov používateľov, hoci nie je známe, koľkých táto bezpečnostná hrozba zasiahne. Mozilla si je vedomá tejto zraniteľnosti a momentálne záležitosť vyšetruje.
Tento týždeň sme v Las Vegas a prinášame vám najnovšie technologické novinky z CES 2008. Pozrite si naše spravodajstvo na ministránka CES.
