Viren, Spyware, Datenschutz 11.214 Themen, 94.192 Beiträge

News: Missbrauch von Passwörtern

Scheußliches Sicherheitsloch in Firefox

Redaktion / 14 Antworten / Flachansicht Nickles

Bei Myspace ist eine neue Phishing-Variante aufgetaucht, die Passwörter aus dem Firefox abgreift und an eine andere Site sendet! Dort werden die Passwörter dann munter für Logins benutzt! Nur durch einen kleinen Layout-Fehler auf der Phishing-Site wurde der Diebstahl bemerkt.

Der Passwort-Manager von FF ist eine schöne Sache, aber dieser Exploit ist der schlichte Horror: Robert Chapin, der den Fehler gestern bei Bugzilla als Bug 360493 gemeldet hat, beschreibt, was ihm passiert ist:

In einem Formular in einem Myspace-Profil befand sich das folgende Attribut:

action="http://membres.lycos.fr/adel88duran/plaguedoctor.php"

Sendet man das Formular ab, wird das Skript ausgeführt. Danach erscheint ein gefälschtes Myspace-Login auf dem fr-Server und schwuppsdiwupps - FF trägt dort Name und Passwort ein, obwohl man sich auf der Domain membres.lycos.fr befindet! Es erscheint keine Warnung. Das funktioniert auch mit FF 1.x-Versionen, wie dieser Proof of Concept zeigt.

Einen Bugfix gibt es noch nicht.

Quelle: Bugzilla

bei Antwort benachrichtigen
blueage dff „Auch ich verwende seit langer Zeit schon FF. Aber nie würde es mir in den Sinn...“
Optionen

wie schon gesagt, für "weniger wichtige" Seiten wie Foren oder ähnliches ist es sehr praktisch.

Mail-Account, Ebay und Online-Banking Passwörter sollte man alledings wirklich nicht speichern.

Greetz,
[.|.|.|.> BlueAge

Greetz, [.|.|.|.> BlueAge
bei Antwort benachrichtigen