• Tweet

Las versiones más recientes tanto de Firefox como de Internet Explorer son vulnerables a una falla que aun no tiene solución la cual permite a un intruso robar credenciales de usuarios a travès de ataques de phishing automáticos.

La falla de divulgación de información afecta al administrador de contraseñas en Firefox 2.0 y su equivalente en IE7. El administrador de contraseñas de Firefox, por ejemplo, falla al verificar apropiadamente las URLs antes de completar las credenciales del usuario almacenadas dentro de las formas web. Como resultado, los intrusos pueden capturar las credenciales del usuario mediante formas maliciosas en el mismo dominio, proporcionando usuarios que ya han llenado formas en este dominio.

Las muestras de los ataques que han utilizado esta falla han sido reportadas al sitio MySpace. Los usuarios de firefox 2.0 podrían estar en mayor riesgo puesto que IE7 no llena automáticamente la información almacenada. La empresa de seguridad Secunia aconseja deshabilitar la opción "recordar contraseñas" en sus navegadores hasta que se tenga solución.

Esta falla también llamada 'reverse cross-site request' fue descubierta por el investigador de seguridad Robert Chapin.