Hvis du bruker Autofullfør funksjoner i Safari, visse versjoner av IE, Firefox eller Chrome, kan du være å gjøre deg selv sårbar for identitetstyveri og andre angrep, ifølge en sikkerhetsforsker planlagt å snakke på Black Hat konferansen neste uke. White Hat Security CTO Jeremiah Grossman sier at de fire store nettleserne har kritiske svakheter som ennå ikke er behandlet av sine respektive selskaper, og kunne avsløre brukernes passord, e-postadresser, og mer til angriperne.
Grossman planer om å demo en proof-of-concept angrep på neste ukes konferanse.
Som de fleste av oss vet, hvis du har autocomplete slått på i mange nettlesere, er det bare å begynne å skrive et brev eller to i ett av feltene før de alle fyller på med ditt navn og adresse, eventuelt ditt kredittkortnummer, og mer . Grossman sier angripere kan bare lage en side med skjulte skjemafelt som bruker Javascript til å skrive bokstaver og tall i hvert felt til den finner en som er en hit, og nettleseren autocompletes det.
Brukere trenger ikke engang å angi en enkelt bokstav for angrepet til de må gjøre-alt arbeid er laste siden, og de sannsynligvis ville ikke engang være klar over hva som skjer.
Ifølge Grossman, autofullfør utnytte verk i de to De nyeste versjonene av Safari (4 og 5), samt IE 6 og 7.
Firefox og Chrome er ikke utsatt for denne spesielle angrep, selv om de var utsatt for en annen: Grossman sier at de to nettlesere kan avsløre lagret brukernavn og passord for lagrede nettsider, noe som gjør det mulig for en cross-site scripting sårbarhet å ta tak i info når en bruker logger seg en Google-konto eller Facebook, for eksempel.
Grunnen til at han har planer om å avsløre disse sikkerhetsproblemene på Black Hat er fordi de aktuelle selskapene har tydeligvis ikke svart på Grossman forsøk på å kontakte dem om det.
"Jeg ville aldri ha snakket om dette offentlig dersom Apple hadde tatt dette på alvor," Grossman fortalt The Register. "Jeg skjønte noen andre må ha funnet dette før fordi det hjernedød enkelt er det." Da han sendte en oppfølging spørring "Jeg har aldri hørt noe tilbake, menneskelig eller robot." Anmeldelser