Firefox、IEは偽のログインページに脆弱ですか?

発見者であるRobert Chapinによる逆クロスサイトリクエスト(RCSR)の脆弱性により、ハッカーが偽のログインフォームを提示することで、ユーザーのパスワードとユーザー名を侵害する可能性があります。 Firefox Password Managerは保存されたパスワードとユーザー名をフォームに自動的に入力します。

Chapin Information Servicesのサイトによれば、データは自動的に攻撃者のコンピュータに送信されます。

Chapinによると、この欠陥に対する悪用は、すでにソーシャルネットワーキングサイトMySpace.comで見られており、ブログやフォーラムを使用しているユーザに影響を与え、ユーザが生成したHTMLコードを追加することができます。

FirefoxとInternet Explorerの両方のユーザーは、信頼できるアドレスのブログやフォーラムのWebサイトを訪れたときに、このような方法で情報を盗むことができることを認識する必要があります。

MySpaceで悪用されていることを発見したセキュリティ会社のNetcraftによると、不正なログインページが自社のサーバーでホストされていました。

このページはクロスサイトスクリプティング(XSS)やオープンリダイレクトなどの外部コンテンツの兆候を示さなかったため、「確信しており、セキュリティを意識したユーザーでさえ犠牲になる危険にさらされている」とCISに語った。

この攻撃は、プロファイルページから起動され、特別な細工をしたHTMLを使用して、本物のMySpaceコンテンツをページから隠し、代わりに独自のログインフォームを表示します。

Chapinによると、RCSR攻撃はXSS攻撃よりも成功する可能性が非常に高いです。これは、Internet ExplorerもFirefoxもユーザーがフォームデータを送信する前に、フォームデータの宛先を確認することができないためです。悪用が信頼されたWebサイトで行われるため、ブラウザは警告音を鳴らしません。

エンタープライズソフトウェア、?TechnologyOneは、農業、共同作業、現在のデジタルワークプレイスの構成原理は何ですか? HPEはLinuxディストリビューション、Enterpriseソフトウェア、Appleが9月13日にiOS 10をリリース、macOS Sierraを9月20日にリリース

2週間前、CISはMozillaにFirefox Webブラウザが自動的に保存されたユーザー名とパスワードをRCSRフォームに記入すると報告した。 RCSRフォームが正規のログインフォームと同じページに表示されない限り、Internet Explorerは保存されたユーザー名とパスワードを自動的に入力しないため、攻撃はFirefoxで成功する可能性が高くなります。

Mozillaが執筆時点で発行した修正はありませんでしたが、バグレポートが提出されました。同組織は、Firefox 2の修正に取り掛かっていると伝えられているが、以前のバージョンも影響を受けるかどうかは不明だ。セキュリティ会社のSecuniaは、Firefoxの設定で「サイトのパスワードを保存する」オプションを無効にするようにユーザーにアドバイスしています。

この欠陥を利用するには、悪意のあるハッカーが信頼できるWebサイトに偽のログインフォームを作成する必要があります。 CISは、すべてのウェブマスターが、XSSおよびRCSR注入の可能性、特に暗号化されたWebサイトの運営者のためのサーバーコードを確認することを推奨しています。

これらの攻撃は、ファイアウォールされたローカルネットワークサーバーや攻撃者が直接アクセスする必要がないためアクセスできないHTTPSアドレスに対して非常に効果的です。

イギリスのウェブサイトのトム・エスピナー氏がロンドンから報告した。

?TechnologyOneは農業に6.2百万豪ドルを調印

今日のデジタルワークプレイスの構成原理は何ですか?

甘いSUSE! HPEがLinuxディストリビューションに突入

Appleは9月13日にiOS 10を、MacOS Sierraは9月20日にAppleをリリースする