Viren, Spyware, Datenschutz 11.234 Themen, 94.586 Beiträge

News: Missbrauch von Passwörtern

Scheußliches Sicherheitsloch in Firefox

Redaktion / 14 Antworten / Flachansicht Nickles

Bei Myspace ist eine neue Phishing-Variante aufgetaucht, die Passwörter aus dem Firefox abgreift und an eine andere Site sendet! Dort werden die Passwörter dann munter für Logins benutzt! Nur durch einen kleinen Layout-Fehler auf der Phishing-Site wurde der Diebstahl bemerkt.

Der Passwort-Manager von FF ist eine schöne Sache, aber dieser Exploit ist der schlichte Horror: Robert Chapin, der den Fehler gestern bei Bugzilla als Bug 360493 gemeldet hat, beschreibt, was ihm passiert ist:

In einem Formular in einem Myspace-Profil befand sich das folgende Attribut:

action="http://membres.lycos.fr/adel88duran/plaguedoctor.php"

Sendet man das Formular ab, wird das Skript ausgeführt. Danach erscheint ein gefälschtes Myspace-Login auf dem fr-Server und schwuppsdiwupps - FF trägt dort Name und Passwort ein, obwohl man sich auf der Domain membres.lycos.fr befindet! Es erscheint keine Warnung. Das funktioniert auch mit FF 1.x-Versionen, wie dieser Proof of Concept zeigt.

Einen Bugfix gibt es noch nicht.

Quelle: Bugzilla

bei Antwort benachrichtigen
the_mic Redaktion „Scheußliches Sicherheitsloch in Firefox“
Optionen

@Redaktion: Bitte nicht so reisserisch. Dagegen ist ja heise regelrecht objektiv: http://www.heise.de/newsticker/meldung/81410

cat /dev/brain > /dev/null
bei Antwort benachrichtigen