Firefox曝新漏洞威脅用戶信息安全

以色列安全專家發(fā)現(xiàn)火狐瀏覽器Firefox處理顯示身份識(shí)別對(duì)話框的方式中存在一個(gè)安全漏洞，能夠讓釣魚攻擊者獲得用戶名和口令等信息。限制訪問網(wǎng)站的基本方法是要求提供用戶名和口令。這個(gè)身份識(shí)別對(duì)話框在遠(yuǎn)程實(shí)例名稱“Realm”(區(qū)域)的旁邊，還顯示有關(guān)發(fā)出這個(gè)身份識(shí)別請(qǐng)求的服務(wù)器的信息?；鸷鼮g覽器顯示這個(gè)“區(qū)域”的方式上似乎有些漫不經(jīng)心。安全人員稱，任何人使用一個(gè)引號(hào)和空格鍵都可以制作一個(gè)對(duì)話框，欺騙用戶相信他們看到的是一個(gè)可信賴的網(wǎng)站，盡管這個(gè)對(duì)話框?qū)嶋H上是來自一個(gè)釣魚網(wǎng)站。
    Raff制作了一個(gè)視頻文件，在他的網(wǎng)站上演示這個(gè)問題。要成功地實(shí)施攻擊，受害者必須要點(diǎn)擊惡意網(wǎng)站上的一個(gè)特別制作的鏈接。但是，受害者不會(huì)明顯地感覺到攻擊的發(fā)生。例如，一個(gè)看起來好像連接到亞馬遜網(wǎng)站的一個(gè)圖書列表的無害的MySpace網(wǎng)頁可能會(huì)欺騙用戶相信這個(gè)由惡意服務(wù)器發(fā)出的假冒的登錄對(duì)話框是真實(shí)的。不過，這個(gè)修改的登錄程序應(yīng)該使用戶懷疑有些事情可能不對(duì)。
    這篇報(bào)告稱，這個(gè)安全漏洞影響到火狐2.0.0.11版瀏覽器軟件，并且可能影響到早期版本的火狐瀏覽器。其它Mozilla基金會(huì)的產(chǎn)品也可能受到影響。目前還沒有修復(fù)這個(gè)安全漏洞的補(bǔ)丁。Raff建議用戶不要想顯示這種對(duì)話框的網(wǎng)站輸入用戶名和口令信息。