ITmedia エンタープライズ：Firefoxにパスワード流出の脆弱性――MySpaceで悪用の報告も

ブラウザのパスワードマネージャーなんて怖くて使えませんが、指紋認証のパスワード認証は使ってるか・・・

Firefoxのパスワードマネージャに関する脆弱性が発見された。保存されたユーザー名とパスワードをユーザーが知らないうちに攻撃者に送信してしまう恐れがあるという。

チャピン氏はこの問題をリバースクロスサイトリクエスト（RCSR）の脆弱性と命名。ユーザーがFirefoxにパスワードを保存している場合、目に見えない画像リンクを知らないうちにクリックして、パスワードを別のサイトに転送してしまう可能性があると解説している。

偽ログインページをMySpaceコンテンツを隠してログインフォームを表示していたそうです。

Netcraftによると、偽のログインページはMySpaceのサーバでホスティングされていた。プロファイルページで細工を施したHTMLを使って正規のMySpaceコンテンツを隠し、偽のログインフォームを表示していたという。
　このフォームにユーザー名とパスワードを入力すると、フランスでホスティングされているリモートサーバに情報を転送する仕掛けになっていた。

関連URL

Reverse Cross-Site Request (RCSR) vulnerability(SANS)

CIS Finds Flaws in Firefox v2 Password Manager

Mozilla Firefox Password Manager Arbitrary Credentials Disclosure : Hackers Center : Internet Security Archive: Exploits, Patch, Security Articles, Advisories