Firefox、IE易受假登入頁面呼攏？

| | | | |

    

Mozilla的Firefox 2與微軟Internet Explorer 7瀏覽器有安全漏洞，可能讓駭客鑽漏洞盜取使用者密碼。

這種安全漏洞稱為「反向跨站請求」(reverse cross-site request；簡稱RCSR)，由Robert Chapin最先發現。根據Chapin Information Services (CIS)網站，此漏洞可能讓駭客透過偽造的登入頁面竊取使用者名稱與密碼。Firefox密碼管理員會自動輸入任何預存的密碼及使用者名稱，隨後資料被自動傳至駭客的電腦，使用者毫不知情。

Chapin表示，已有人把這個安全漏洞的攻擊程式用在社交網站MySpace.com上，凡瀏覽允許網友加入自編HTML程式碼的部落格或公共論壇者，都可能受影響。

Chapin說：「Firefox和IE的使用者必須留意，造訪所信賴的部落格和論壇網站時，個人資料可能因此而遭到竊取。」

發現MySpace上已有人利用此漏洞的資安公司Netcraft表示，造假的登入頁面正架設在自家的伺服器上。

CIS指出，由於網頁未顯示任何外來內容的跡象，例如XSS (cross-site scripting)或「開放式重新導向」(open redirects)，網頁顯得「似乎可以信任，就連安全警覺性高的使用者也可能受害」。

這種攻擊從簡介頁面(profile page)發動攻擊，用特製的HTML隱藏正宗的MySpace內容，轉為顯示自製的登入表格。

Chapin拍出，RCSR攻擊比XSS攻擊更容易成功，因為不論是IE或Firefox，都不會在使用者傳出填寫資料之前，先檢查表格資料會傳往何處。瀏覽器不會示警，因為駭客是在受信任的網站上鑽這種安全漏洞。

兩周前，CIS即通知Mozilla說，Firefox網頁瀏覽器會自動在RCSR表格填入預存的使用者名稱與密碼。這類攻擊在Firefox瀏覽器得逞的機率比較高，因為IE瀏覽器不會自動填入預存的使用者名稱和密碼，除非RCSR表格與正宗的登入表格都出現在同一個網頁上。

Mozilla尚未釋出修補程式。該組織據說已著手準備Firefox 2的修補程式，但目前尚不知舊版瀏覽器是否也受影響。

資安公司Secunia建議，使用者宜關閉Firefox個人偏好選項中的「記憶網站登入密碼」(Remember passwords for sites)功能。

要利用這個安全漏洞，駭客必須在信任的網站上偽造一個登入表格。因此，CIS建議，所有網管人員檢查自己的伺服器程式碼是否被摻入XSS和RCSR，加密網站的管理員尤其要小心。

CIS網站上的公告說：「這些攻擊能有效入侵有防火牆保護的本地網路伺服器(LNS)和 HTTPS位址，因為駭客不需要直接存取。」(唐慧文/譯)