Firefox, IE cùng dính lỗ hổng "mật khẩu"

Cả hai trình duyệt của Microsoft và Mozilla đều chứa chấp một lỗ hổng bảo mật, cho phép kẻ tấn công đánh cắp mật khẩu người dùng bằng các trang đăng nhập giả.

Tình hình có vẻ nghiêm trọng hơn một chút với Firefox, do trình duyệt nguồn mở này có tính năng Quản lý mật khẩu, sẽ tự động nhập username và mật khẩu được lưu trong máy vào trang log-in do hacker trình ra.

Sau đó, dữ liệu sẽ được tự đổng gửi đến máy tính của kẻ tấn công mà người dùng không hề hay biết, trang web Chapin Information Services cho biết.

Trường hợp đầu tiên khai thác lỗ hổng này đã xuất hiện trên mạng diễn đàn ảo MySpace.com, và theo Chapin, nó có thể ảnh hưởng tới bất cứ blog hoặc forum nào mà người dùng có thể can thiệp vào nội dung. “Kể cả khi truy cập vào những website blog và forum đáng tin cậy, thông tin của bạn vẫn có thể bị đánh cắp”.

Theo hãng bảo mật Netcraft, nơi phát hiện ra vụ việc trên MySpace, trang login giả mạo do hacker lập ra đã được lưu ký trong chính máy chủ của MySpace. Và vì trang đăng nhập này không có bất cứ dấu hiệu khả nghi nào như hiển thị đường link hay redirect tới địa chỉ khác, ngay cả người dùng cẩn trọng nhất cũng dễ dàng biến thành nạn nhân”.

Vụ tấn công xuất phát từ một trang profile và hacker đã sử dụng mã HTML đặc biệt để giấu đi nội dung MySpace thực, thay vào đó chỉ hiển thị trang login giả.

Theo Chapin, khả năng thành công của hacker là rất lớn vì cả IE lẫn Firefox đều không được thiết kế để kiểm tra đích đến của các thông tin đăng nhập, sau khi người dùng gõ vào.

Hiện tại, lỗ hổng này ở cả hai trình duyệt đều chưa có bản vá. Hãng bảo mật Secunia khuyến cáo người dùng nên tắt chức năng “Nhớ mật khẩu cho site” bên trong Firefox để hạn chế nguy cơ.