火狐瀏覽器剛剛發(fā)現(xiàn)的一個(gè)漏洞可以讓黑客很容易就偷走用戶在他們自己的網(wǎng)頁(yè)上留下的信息，比如在MySpace.com上留下的用戶資料。

這個(gè)漏洞存在于火狐用戶登錄管理系統(tǒng)，可以將用戶的登錄信息發(fā)送到攻擊者指定的網(wǎng)頁(yè)，Chapin信息服務(wù)集團(tuán)的總裁RobertChapin說道。為了讓這個(gè)攻擊可以執(zhí)行，攻擊者需要有能力在他們指定的站點(diǎn)建立一個(gè)HTML頁(yè)面，這個(gè)頁(yè)面可以記錄日志并且可以登錄外部網(wǎng)站。

關(guān)于這個(gè)曾被用于MySpace的網(wǎng)絡(luò)釣魚攻擊的報(bào)道出現(xiàn)在十月份。在那次攻擊中，用戶用一個(gè)MySpace的賬號(hào)登錄了一個(gè)叫做“l(fā)ogin_home_index_html”的頁(yè)面，結(jié)果進(jìn)入了利用漏洞所生成的偽裝頁(yè)面。

這個(gè)頁(yè)面將MySpace用戶的ID和通行證信息發(fā)送到另外一個(gè)站點(diǎn)上，查看站點(diǎn)的MySpace用戶如果使用了火狐瀏覽器的話將會(huì)很容易使信息處于危險(xiǎn)之中，Chapin說。

根據(jù)這個(gè)項(xiàng)目開發(fā)時(shí)的測(cè)試數(shù)據(jù)庫(kù)留下的目錄，火狐的開發(fā)者將這個(gè)漏洞定義為危急級(jí)別。

這個(gè)漏洞之所以出現(xiàn)，是因?yàn)楫?dāng)用戶開始登錄時(shí)，火狐的登錄管理器沒有一個(gè)足夠徹底的檢查去決定到底是否要發(fā)送這個(gè)信息，而且不能確定這個(gè)通行證信息是否發(fā)送到被要求的服務(wù)器。Chapin進(jìn)一步解釋道。例如，在這次針對(duì)MySpace的攻擊中，火狐可以確定這個(gè)信息是否來(lái)自MySpace.com，但是并不能確定這個(gè)密碼是否發(fā)回到MySpace的服務(wù)器上。

“從編程的角度來(lái)看，這個(gè)行為幾乎就像是印刷”，他繼續(xù)說道，“諷刺地是，我在想這個(gè)漏洞為什么直到現(xiàn)在也沒有被發(fā)現(xiàn)，它的行為已經(jīng)表現(xiàn)得如此明顯了?！?

Chapin已經(jīng)將此事的詳細(xì)報(bào)分析報(bào)告，在報(bào)告里，他詳細(xì)地給出了這個(gè)攻擊的實(shí)證。

微軟的IE同樣也容易受到這些類型攻擊的影響，像火狐一樣，它不能確定所提交的用戶信息是否發(fā)送到了被請(qǐng)求的頁(yè)面。Chapin說。

但是IE并不那么容易受騙。因?yàn)樗隽烁鄰氐椎墓ぷ髟谧詣?dòng)提交用戶信息之前檢查這些它們的來(lái)源，他補(bǔ)充說。