Витік інформації в Firefox Password Manager
21:50 30.11.200625.11.2006
Перехоплення облікових (конфеденційних) даних у менеджері паролів Firefox. Уразливі версії: Firefox 1.5, Firefox 2.0.
При автоматичному заповненні форми не враховується її призначення, тому, якщо зловмисник може вставити форму в контент сайта, то він зможе одержати результати збережених полів (зокрема логін/пароль).
Зауважу, що уразливість виявлена не тільки в Mozilla Firefox, але й в IE (про що я напишу додатково). Експерти назвали даний різновид атаки Reverse Cross-Site Request. Про даний вид атак я ще розповім окремо більш детально.
- Firefox password manager form information leak (деталі)
- Cross-Site Forms + Password Manager = Security Failure (деталі)
30.11.2006
Уразливість при обробці URL в Firefox Password Manager.
Уразливі версії: Mozilla Firefox 2.x, Mozilla Firefox 1.x.
Уразливість дозволяє віддаленому користувачу одержати доступ до важливих даних на системі.
Уразливість існує через те, що менеджер паролів недостатньо перевіряє URL перед автоматичним заповненням форм збереженими особистими даними користувача. Зловмисник може за допомогою спеціально сформованих форм у межах одного домена одержати особисті дані цільового користувача.
При використанні менеджера паролів слід бути обережним. В якості одного з варіантів вирішення даної проблеми рекомендується відключити опцію збереження паролів для сайтів.
- Уязвимость при обработке URL в Firefox Password Manager (деталі)