-
Firefox Password Manager Information Disclosure
Firefox Password Manager Information Disclosure
Secunia Advisory: SA23046 Release Date: 2006-11-22
Critical: Less critical
Impact: Exposure of sensitive information
Where: From remote
Solution Status: Unpatched
Software:
Mozilla Firefox 1.x
Mozilla Firefox 2.x
Description:
Robert Chapin has discovered a vulnerability in Firefox, which can be exploited by malicious people to conduct phishing attacks.
The vulnerability is caused due to the Password Manager not properly checking the URL before automatically filling in saved user credentials into forms. This may be exploited to steal user credentials via malicious forms in the same domain.
The vulnerability is confirmed in version 2.0.0. Other versions may also be affected.
Solution:
Disable the "Remember passwords for sites" option in the preferences.
Provided and/or discovered by: Robert Chapin
Original Advisory: http://www.info-svc.com/news/11-21-2006/
Other References: https://bugzilla.mozilla.org/show_bug.cgi?id=360493
secunia.com
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уязвимость при обработке URL в Firefox Password Manager
23 ноября, 2006
Программа:
Mozilla Firefox 2.x
Mozilla Firefox 1.x
Опасность: Низкая
Наличие эксплоита: Нет
Описание:
Уязвимость позволяет удаленному пользователю получить доступ к важным данным на системе.
Уязвимость существует из-за того, что менеджер паролей недостаточно проверяет URL перед автоматическим заполнением форм сохраненными личными данными пользователя. Злоумышленник может с помощью специально сформированных форм в пределах одного домена получить личные данные целевого пользователя.
URL производителя: www.mozilla.org
Решение: Способов устранения уязвимости не существует в настоящее время. В качестве временного решения рекомендуется отключить опцию сохранения паролей для сайтов.
securitylab.ru
Left home for a few days and look what happens...
-
-
Уязвимость, обнаруженная Робертом Чапином, владельцем Chapin Information Services, находится в менеджере паролей (Password Manager), который позволяет сохранять пароли для того, чтобы при каждом посещении сайтов не приходилось вводить их заново.
Как оказалось, менеджер паролей Firefox не способен проверять легальность URL, в результате чего пользователь может быть переправлен на ложную страницу, на которой будет предложено указать свой пароль и логин.
Кстати, эта дыра уже используется хакерами, разместившими на известном сайте MySpace подобные страницы.
С большой долей вероятно можно предположить, что эта ошибка присутствует во всех версиях бразуера Firefox. Mozilla Foundation советует пользователям до выхода соответствующего патча отключить в Firefox мереджер паролей.
http://news.softodrom.ru/
-