受影响版本: 火狐2.0.0.11版浏览器软件,并且可能影响到早期版本的火狐浏览器。其它Mozilla基金会的产品也可能受到影响。
漏洞描述: 限制访问网站的基本方法是要求提供用户名和口令。这个身份识别对话框在远程实例名称“Realm”(区域)的旁边,还显示有关发出这个身份识别请求的服务 器的信息。火狐浏览器显示这个“区域”的方式上似乎有些漫不经心。安全人员称,任何人使用一个引号和空格键都可以制作一个对话框,欺骗用户相信他们看到的 是一个可信赖的网站,尽管这个对话框实际上是来自一个钓鱼网站。
安全专家Aviv Raff制作了一个视频文件,在他的网站上演示这个问题。要成功地实施攻击,受害者必须要点击恶意网站上的一个特别制作的链接。但是,受害者不会明显地感觉到攻击的发生。例如,一个看起来好像连接到亚马逊网站的一个图书列表的无害的MySpace网页可能会欺骗用户相信这个由恶意服务器发出的假冒的登录对话框是真实的。不过,这个修改的登录程序应该使用户怀疑有些事情可能不对。
相关补丁:目前还没有修复这个安全漏洞的补丁。
建议用户不要想显示这种对话框的网站输入用户名和口令信息。
订阅我的BLOG
