Hatástalan az IE, Firefox vadonatúj védelme

Angol terminológiában reverse cross-site request (RCSR) néven ismert az a sebezhetőség, melyre Robert Chapin bukkant rá nemrég. A sérülékenység ismeretében a hackerek megszerezhetik az internetezők jelszavait és felhasználóneveit azáltal, hogy egy hamis bejelentkező űrlapot jelenítenek meg számára. A hiba révén például a Firefox Password Manager rávehető, hogy automatikusan beillessze egy űrlapba a gépen eltárolt bármelyik felhasználónév/jelszó kombinációt. Amennyiben ez megtörtént, az internetező számítógépe a monitor előtt ülő tudta nélkül már továbbítja is a kényes adatokat a támadó részére, olvasható a Chapin Information Services website-on.

Azért különösen veszélyes ennek a sebezhetőségnek a léte, mert nem csak a Firefoxot, hanem az Internet Explorert is érinti, ismertette Chapin pár nappal korábban a részleteket. Ráadásul már ki is használják itt-ott a hibát: kiaknázására példát az Egyesült Államokban közkedvelt Myspace.com közösségépítő website szolgáltatott. Az ominózus Mysapce oldalt felfedező Netcraft közlése szerint a hamis bejelentkezőlap ráadásul a cég saját szerverén volt hostolva. Nincsen azonban biztonságban más sem, aki blogot, fórumot stb. használ – azaz olyan helyeket látogat, melyek lehetővé teszik a felhasználó által generálható HTML-kódok rögzítését.

Chapin szerint egy RCSR támadás sokkal nagyobb valószínűséggel lesz sikeres, mint egy XSS (cross-site scripting) vagy nyílt átirányítás. Ennek oka pedig, hogy sem az Internet Explorer, sem a Firefox nem úgy lett létrehozva, hogy leellenőrizze az űrlap adatainak végcélját, mielőtt a felhasználó elküldené azokat. Azaz a beírt adatok riasztás nélkül kerülnek továbbításra – és szintén riasztás nélkül következhet be magának a hamis oldalnak a betöltődése, hiszen azt egy megbízható website részeként azonosítják az anitphishing rendszerek.

Nagyobb veszélyben mégis a Tűzrókát használók vannak, mivel a Microsoft fejlesztette böngésző nem tölti ki automatikusan az elmentett felhasználónevekkel és jelszavakkal a hamis űrlapot. Éppen ezért a dán, IT-biztonsággal foglalkozó Secunia azt javasolja minden Firefox tulajdonosnak, hogy borwserükben kapcsolják ki a „Remember passwords for sites” opciót. Amennyiben az RCSR űrlap ugyanazon az oldalon jelenik meg, ahol a legitim bejelentkező űrlap, akkor azonban már az IE esetében sincs menekvés.