PDA

View Full Version : Firefox, IE cùng “dính” lỗi đăng nhập



ngayxua
24-11-2006, 06:54 PM
Firefox, IE cùng “dính” lỗi đăng nhập


Hai trình duyệt mới ra mắt Firefox 2 của Mozilla và Internet Explorer 7 của Microsoft đều vấp phải một lỗ hổng mới, cho phép kẻ gian ăn cắp mật khẩu, tên truy cập của người dùng bằng một trang web đăng nhập (log-in) giả mạo.

Robert Chapin, Chủ tịch công ty Dịch vụ thông tin Chapin (CIS) - là người phát hiện ra lỗi có tên là RCSR (reverse cross-site request) này - cho biết, lỗ hổng tiếp tay cho tin tặc giả mạo một website đăng nhập và sau đó lừa người dùng nhập username, mật khẩu. Điều nguy hiểm là phần mềm Firefox Password Manager sẽ tự động nhập thông tin cá nhân đã được lưu lại trên máy vào trang web này.

Sau đó, dữ liệu sẽ được tự động gửi về máy tính của hacker mà người dùng không hề hay biết, theo CIS. Chiêu ăn cắp thông tin cá nhân tương tự cũng đã xảy ra trên trang chia sẻ xã hội MySpace.com.

“Ngươi dùng của cả Firefox và Internet Explorer cần phải biết rằng thông tin của họ vẫn có thể bị mất cắp khi truy cập vào trang blog hay diễn đàn có địa chỉ đáng tin tưởng”, Chapin cho biết.

Theo công ty bảo mật Netcraft, đã từng phát hiện kỹ thuật tấn công tương tự trên MySpace, trang log-in lừa đảo thuộc trong các máy chủ của hãng. Khi một website không có dấu hiệu gian lận, chứa mã XSS (hacker có thể chèn đoạn script trong tham số đầu vào của một trang web để thực thi script đó), nó sẽ thuyết phục được người dùng, thậm chí những khách hàng rất cảnh giác cũng có nguy cơ trở thành nạn nhân.

Kỹ thuật RCSR còn tỏ ra lợi hại hơn XSS vì cả trình duyệt IE và Firefox đều không được thiết kế để kiểm tra “điểm đến” của dữ liệu trước khi người dùng nhấn lệnh gửi (submit). Cả hai trình duyệt này không cảnh báo người dùng vì tin tặc thực hiện lừa đảo trên website đáng tin cậy.

Hiện tại, cả Mozilla và Microsoft đều chưa có bản vá lỗi nguy hiểm này. Công ty bảo mật Secunia khuyên người dùng nên tắt chức năng “Remember passwords for sites” trên trình duyệt Firefox.