Viren, Spyware, Datenschutz 11.213 Themen, 94.186 Beiträge

News: Missbrauch von Passwörtern

Scheußliches Sicherheitsloch in Firefox

Redaktion / 14 Antworten / Flachansicht Nickles

Bei Myspace ist eine neue Phishing-Variante aufgetaucht, die Passwörter aus dem Firefox abgreift und an eine andere Site sendet! Dort werden die Passwörter dann munter für Logins benutzt! Nur durch einen kleinen Layout-Fehler auf der Phishing-Site wurde der Diebstahl bemerkt.

Der Passwort-Manager von FF ist eine schöne Sache, aber dieser Exploit ist der schlichte Horror: Robert Chapin, der den Fehler gestern bei Bugzilla als Bug 360493 gemeldet hat, beschreibt, was ihm passiert ist:

In einem Formular in einem Myspace-Profil befand sich das folgende Attribut:

action="http://membres.lycos.fr/adel88duran/plaguedoctor.php"

Sendet man das Formular ab, wird das Skript ausgeführt. Danach erscheint ein gefälschtes Myspace-Login auf dem fr-Server und schwuppsdiwupps - FF trägt dort Name und Passwort ein, obwohl man sich auf der Domain membres.lycos.fr befindet! Es erscheint keine Warnung. Das funktioniert auch mit FF 1.x-Versionen, wie dieser Proof of Concept zeigt.

Einen Bugfix gibt es noch nicht.

Quelle: Bugzilla

bei Antwort benachrichtigen
i.mer dff „Auch ich verwende seit langer Zeit schon FF. Aber nie würde es mir in den Sinn...“
Optionen

Der Vergleich ist FALSCH.

Wenn man die Richtung wechselt und dein Autobeispiel auf Computer überträgt, dann ist es, als wenn du im Mailkasten 1 das Passwort für Mailkasten 2 ablegen würdest. BTW ich habe schon Oldtimer gesehen, wo Zündschlüssel und Türschlüssel vom Werk ab verschieden waren, da ginge dein Beispiel sogar ;)

Bei den Browser ist es eh so: die Schlüssel für Auto, Garage, Schäune etc. liegen alle im Schlüsselkasten zuhause. Man hat nur noch ein Schlüssl für die Eingangstür. Sowas passiert in den allermeisten Haushalten, ist irgendwie völlig normal.

Wenn du schon vergleiche ziehst, dann bitte sinnvoll.

bei Antwort benachrichtigen