Показано с 1 по 3 из 3.

Firefox Password Manager Information Disclosure

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1636

    Firefox Password Manager Information Disclosure

    Firefox Password Manager Information Disclosure
    Secunia Advisory: SA23046 Release Date: 2006-11-22

    Critical: Less critical
    Impact: Exposure of sensitive information
    Where: From remote
    Solution Status: Unpatched

    Software:
    Mozilla Firefox 1.x
    Mozilla Firefox 2.x

    Description:
    Robert Chapin has discovered a vulnerability in Firefox, which can be exploited by malicious people to conduct phishing attacks.

    The vulnerability is caused due to the Password Manager not properly checking the URL before automatically filling in saved user credentials into forms. This may be exploited to steal user credentials via malicious forms in the same domain.

    The vulnerability is confirmed in version 2.0.0. Other versions may also be affected.

    Solution:
    Disable the "Remember passwords for sites" option in the preferences.

    Provided and/or discovered by: Robert Chapin
    Original Advisory: http://www.info-svc.com/news/11-21-2006/
    Other References: https://bugzilla.mozilla.org/show_bug.cgi?id=360493

    secunia.com

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3704

    Уязвимость при обработке URL в Firefox Password Manager

    23 ноября, 2006

    Программа:
    Mozilla Firefox 2.x
    Mozilla Firefox 1.x

    Опасность: Низкая

    Наличие эксплоита: Нет

    Описание:
    Уязвимость позволяет удаленному пользователю получить доступ к важным данным на системе.

    Уязвимость существует из-за того, что менеджер паролей недостаточно проверяет URL перед автоматическим заполнением форм сохраненными личными данными пользователя. Злоумышленник может с помощью специально сформированных форм в пределах одного домена получить личные данные целевого пользователя.

    URL производителя: www.mozilla.org

    Решение: Способов устранения уязвимости не существует в настоящее время. В качестве временного решения рекомендуется отключить опцию сохранения паролей для сайтов.

    securitylab.ru
    Left home for a few days and look what happens...

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3162
    Уязвимость, обнаруженная Робертом Чапином, владельцем Chapin Information Services, находится в менеджере паролей (Password Manager), который позволяет сохранять пароли для того, чтобы при каждом посещении сайтов не приходилось вводить их заново.

    Как оказалось, менеджер паролей Firefox не способен проверять легальность URL, в результате чего пользователь может быть переправлен на ложную страницу, на которой будет предложено указать свой пароль и логин.
    Кстати, эта дыра уже используется хакерами, разместившими на известном сайте MySpace подобные страницы.

    С большой долей вероятно можно предположить, что эта ошибка присутствует во всех версиях бразуера Firefox. Mozilla Foundation советует пользователям до выхода соответствующего патча отключить в Firefox мереджер паролей.

    http://news.softodrom.ru/

Похожие темы

  1. Ответов: 9
    Последнее сообщение: 09.07.2010, 15:34
  2. Internet Explorer Header Handling 'res://' Information Disclosure Vulnerability
    От HATTIFNATTOR в разделе Vulnerabilities
    Ответов: 0
    Последнее сообщение: 08.04.2008, 13:57
  3. Microsoft Windows CSRSS Information Disclosure Vulnerability
    От Shu_b в разделе Уязвимости
    Ответов: 0
    Последнее сообщение: 28.12.2006, 15:15
  4. Internet Explorer "mhtml:" Redirection Disclosure of Sensitive Information
    От Shu_b в разделе Уязвимости
    Ответов: 0
    Последнее сообщение: 19.10.2006, 11:28
  5. Internet Explorer Information Disclosure and HTA Application Execution
    От Shu_b в разделе Уязвимости
    Ответов: 1
    Последнее сообщение: 29.06.2006, 08:07

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00643 seconds with 20 queries