中华网络安全联盟    来源：CNET科技资讯网    时间：2006-11-23 9:11:42

    11月23日国际报道 Firefox 2和IE 7都存在一个缺陷，黑客可能利用该缺陷窃取用户的密码。

    该缺陷被其发现者罗伯特称作是“逆向跨站点请求”（RCSR），它使黑客能够通过显示一个虚假的登录表单而窃取用户的帐户名和密码。

    Firefox Password Manager会自动地在表单中输入保存的帐户名和密码。数据会在用户不知情的情况下被发送给黑客的计算机。

    据罗伯特称，利用该缺陷的代码已经出现在社交网站MySpace.com上，它会影响所有使用能够添加用户生成的HTML代码的博客或论坛的用户。

    他说，Firefox和IE用户必须意识到，当访问可信赖的博客或论坛网站时，他们的资料可能会在不知不觉之间被窃取。

    据在MySpace上发现该利用代码的安全公司Netcraft称，由于虚假的网页不会显示出任何外部内容的蛛丝马迹，因此，即使是最有安全意识的用户也可能上当受骗。

    攻击是由一个档案网页发动的，它利用特别设计的HTML隐藏真实的MySpace内容，而显示它自己的登录表单。

    罗伯特表示，RCSR攻击成功的机率要大于跨站点脚本（XSS）攻击，因为在用户提交表单前，IE和Firefox都不会检查表单数据的目的地。由于攻击是在可信赖的站点上发生的，浏览器也不会报警。

    RCSR攻击对于Firefox更为危险，因为除非RCSR表单出现在合法的登录网页上，IE不会自动地填写保存的用户名和密码。

    截止记者发稿时，Mozilla还没有发布补丁软件。有媒体报道称Mozilla 正在开发针对Firefox 2的补丁软件，但目前还不清楚早期版本的Firefox是否会受到影响。安全专家已经建议用户关闭Firefox的“保存站点密码”选项。

    要利用该缺陷，黑客必须在一个可信赖的网站上创建一个虚假的登录表单。网站管理员必须检查服务器代码中是否感染有XSS和RCSR代码。