火狐瀏覽器在2006年發(fā)現的一個漏洞可以讓黑客很容易就偷走用戶在他們自己的網頁上留下的信息，比如在MySpace.com上留下的用戶資料。

這個漏洞存在于火狐用戶登錄管理系統，可以將用戶的登錄信息發(fā)送到攻擊者指定的網頁，Chapin信息服務集團的總裁 RobertChapin說道。為了讓這個攻擊可以執(zhí)行，攻擊者需要有能力在他們指定的站點建立一個HTML頁面，這個頁面可以記錄日志并且可以登錄外部 網站。

關于這個曾被用于MySpace的網絡釣魚攻擊的報道出現在十月份。在那次攻擊中，用戶用一個MySpace的賬號登錄了一個叫做“login_home_index_html”的頁面，結果進入了利用漏洞所生成的偽裝頁面。

這個頁面將MySpace用戶的ID和通行證信息發(fā)送到另外一個站點上，查看站點的MySpace用戶如果使用了火狐瀏覽器的話將會很容易使信息處于危險之中，Chapin說。

根據這個項目開發(fā)時的測試數據庫留下的目錄，火狐的開發(fā)者將這個漏洞定義為危急級別。

這個漏洞之所以出現，是因為當用戶開始登錄時，火狐的登錄管理器沒有一個足夠徹底的檢查去決定到底是否要發(fā)送這個信息，而且不能確定這個通行 證信息是否發(fā)送到被要求的服務器。Chapin進一步解釋道。例如，在這次針對MySpace的攻擊中，火狐可以確定這個信息是否來自 MySpace.com，但是并不能確定這個密碼是否發(fā)回到MySpace的服務器上。

“從編程的角度來看，這個行為幾乎就像是印刷”，他繼續(xù)說道，“諷刺地是，我在想這個漏洞為什么直到現在也沒有被發(fā)現，它的行為已經表現得如此明顯了。”

Chapin已經將此事的詳細報分析報告，在報告里，他詳細地給出了這個攻擊的實證。

微軟的IE同樣也容易受到這些類型攻擊的影響，像火狐一樣，它不能確定所提交的用戶信息是否發(fā)送到了被請求的頁面。Chapin說。

但是IE并不那么容易受騙。因為它做了更多徹底的工作在自動提交用戶信息之前檢查這些它們的來源，他補充說。

注：此漏洞在2006年被發(fā)現之后，火狐已在新版瀏覽器中解決了這個問題，請用戶盡量使用最新版本以防駭客攻擊。

原文鏈接：http://www.computerworld.com/action/article.do?command=viewArticleBasic&taxonomyName=security&articleId=9005379&taxonomyId=17&intsrc=kc_top