Firefox曝新漏洞威胁用户信息安全

以色列安全专家在Firefox处理识别对话框显示的方式中发现了一个安全缺陷，该缺陷允许网络钓鱼攻击者获取用户名和密码等信息。限制访问网站的基本方法是询问用户名和密码。该标识对话框位于远程实例名称“Realm”(区域)的旁边，还显示了发出该标识请求的服务器的信息。火狐浏览器显示这个“区域”的方式似乎有点粗心。据安全人员介绍，任何使用引号和空键的人都可以制作一个对话框，欺骗用户相信他们看到的是一个值得信任的网站，即使这个对话框实际上来自一个钓鱼网站。

Raff在他的网站上制作了一个视频文件来演示这个问题。要成功实施攻击，受害者必须点击恶意网站上特制的链接。但是，受害者不会明显感觉到攻击。例如，一个看起来像连接到Amazon.com的书单的无害的MySpace页面可能会欺骗用户相信这个由恶意服务器发送的假登录对话框是真实的。但是，这个修改后的登录程序应该会让用户怀疑可能出了问题。

根据该报告，该安全漏洞会影响火狐2.0.0.11浏览器软件，并可能影响火狐浏览器的早期版本。其他Mozilla Foundation产品也可能受到影响。目前没有修补程序来修复此安全漏洞。Raff建议用户不要为显示此对话框的网站输入用户名和密码信息。