Cross-Site Forms + Password Manager = Security Failure

A pesar de pregonar mejor seguridad contra el pishing, un nuevo bug en Firefox permite a un atacante el robo de contraseñas de usuario guardadas en el navegador.

La condición para que sea efectivo el ataque es que se trate de un sitio web (ojo con Foros desconocidos!) donde el atacante tenga permitido insertar un campo input en HTML = formulario, que bien podría estar oculto.

Afecta claramente a FF2.0 en Win y Mac.
Tambien podría afectar a otras plataformas y versiones anteriores de FF.
Puede ser aplicado a IE.

Ref.1: http://www.kriptopolis.org/robo-de-contr...en-firefox
Ref.2: http://secunia.com/advisories/23046/

Detalles y Demo on-line: http://www.heise-security.co.uk/news/81419
Bug: https://bugzilla.mozilla.org/show_bug.cgi?id=360493
Solución: desactivar la funcionalidad hasta tanto se libere el parche.

Este mensaje fue modificado por última vez en: 03-25-2007 04:07 PM por warp.

Clamav me detectó (en Linux y win): HTML.Phishing.Auction-272 FOUND en la Cache.

No creo sea falso positivo, por casualidad les suena?

FF me gusta, pero en seguridad no andan demasiado bien que digamos.

Para "navegaciones críticas": viva konqueor

Este mensaje fue modificado por última vez en: 12-31-2006 01:04 AM por p_eter.