11-24-2006, 03:32 AM
Cross-Site Forms + Password Manager = Security Failure
A pesar de pregonar mejor seguridad contra el pishing, un nuevo bug en Firefox permite a un atacante el robo de contraseñas de usuario guardadas en el navegador.
La condición para que sea efectivo el ataque es que se trate de un sitio web (ojo con Foros desconocidos!) donde el atacante tenga permitido insertar un campo input en HTML = formulario, que bien podría estar oculto.
Afecta claramente a FF2.0 en Win y Mac.
Tambien podría afectar a otras plataformas y versiones anteriores de FF.
Puede ser aplicado a IE.
Ref.1: http://www.kriptopolis.org/robo-de-contr...en-firefox
Ref.2: http://secunia.com/advisories/23046/
Detalles y Demo on-line: http://www.heise-security.co.uk/news/81419
Bug: https://bugzilla.mozilla.org/show_bug.cgi?id=360493
Solución: desactivar la funcionalidad hasta tanto se libere el parche.
A pesar de pregonar mejor seguridad contra el pishing, un nuevo bug en Firefox permite a un atacante el robo de contraseñas de usuario guardadas en el navegador.
La condición para que sea efectivo el ataque es que se trate de un sitio web (ojo con Foros desconocidos!) donde el atacante tenga permitido insertar un campo input en HTML = formulario, que bien podría estar oculto.
Afecta claramente a FF2.0 en Win y Mac.
Tambien podría afectar a otras plataformas y versiones anteriores de FF.
Puede ser aplicado a IE.
Ref.1: http://www.kriptopolis.org/robo-de-contr...en-firefox
Ref.2: http://secunia.com/advisories/23046/
Detalles y Demo on-line: http://www.heise-security.co.uk/news/81419
Bug: https://bugzilla.mozilla.org/show_bug.cgi?id=360493
Solución: desactivar la funcionalidad hasta tanto se libere el parche.