Чтобы нападение сработало, у атакующего должна быть возможность создания HTML-форм на сайте, что допускается сайтами Web-дневников и социальных сетей. В конце октября злоумышленниками, воспользовавшимися уязвимостью, была создана учетная запись на MySpace под названием login_home_index_html, соответствующая которой страница была замаскирована под страницу захода на сайт, куда пользователи MySpace заманивались путем фишинга. После ввода имени и пароля они передавались атакующим. Разработчики Firefox оценивают ошибку, как весьма критическую: Password Manager не следит за тем, чтобы пароль отправлялся на запрашивающий его сервер. Как отмечают специалисты, аналогичной уязвимости подвержен Internet Explorer, который тоже не проверяет сервер, на который отправляются введенные регистрационные данные.

Поделитесь материалом с коллегами и друзьями