这个新漏洞位于火狐浏览器的密码管理组件中。火狐浏览器密码管理组件的功能是自动记忆用户名和密码以便下次访问相同网页时用户不必再输入用户名和密码而直接登陆。
由于火狐浏览器中的这个密码管理组件无法验证网址是否合法,因而用户的密码可能存在失窃的危险。
这个漏洞是由Chaplin Information Services公司的罗伯特沙潘发现的,据悉,所有版本的火狐浏览器甚至微软公司的IE浏览器可能都存在这个安全漏洞。
Chaplin Information Services公司称:“根据这种攻击的性质,Chaplin公司将这个安全漏洞命名为反向交叉站点请求漏洞(Reverse Cross-Site Request)。”
“任何允许用户添加HTML超级文本标志语言代码的博客或者论坛网站都可能因这个漏洞而存在安全隐患,访问这类网站的任何人都可能受到攻击而导致密码被窃。”
沙潘称,目前网络上已经出现了这种类型的攻击,许多MySpace网站的用户在访问MySpace网站时被重新导向到另外一个虚假的登陆页面,有些人的登陆信息已经被盗。
目前这个安全漏洞还没有补丁,Mozilla公司建议用户在漏洞补丁发布之前暂时关闭浏览器的密码管理功能。
沙潘说:“这种恶意攻击很容易得逞,因为不管是IE浏览器还是火狐浏览器都不会在用户提交登陆信息之前检查数据发送的目的地是否合法。”
“目前IE浏览器还没有发生这种攻击事件,在某些情况下,IE浏览器的情况比火狐浏览器要好一点。”
“火狐浏览器和IE浏览器的用户们应该明白,即使他们访问可信的网站,比如博客或者论坛,他们的登陆信息也可能以这种方式而被盗。”
Chapin公司已经将这个问题报告了微软公司。