W związku z licznymi raportami dotyczącymi Super Poważnego Błędu w Firefoksie, pozwole sobie streścić po Polsku odpowiedź z Mozilla Security Blog.
Problem
Napastnik może oszukać użytkownika podczas wyświetlania opisu zasobu do którego użytownik się loguje i sprawić, aby użytkownik pomyślał, że loguje się do innej, zaufanej strony.
Wpływ
Podczas wyświetlania okienka dialogowego prostej autentykacji, Firefox wyświetla aktualne źródło zapytania na samym końcu tekstu w okienku. Niektóre inne przeglądarki wyświetlają adres źródła zapytania na samym początku tekstu dialogowego, lub jako fragment tytułu wyskakującego okna, co zmniejsza niebezpieczeństwo pomyłki.
Taki sposób prezentowania informacji przez Mozillę Firefox może umożliwić napastnikowi spreparować okno dialogowe autentykacji, które będzie mylące i w efekcie spowooduje wysłanie danych logowania do napastnika.
Status
Mozilla jest w trakcie analizy problemu i wstępnie okresliła poziom zagrożenia na niski. Można śledzić prace nad tym problemem tutaj: https://bugzilla.mozilla.org/show_bug.cgi?id=244273
Podziękowania
Problem został zgłoszony publicznie oraz na listy mailingowe bugtraq przez Aviva Raffa.
http://aviv.raffon.net/2008/01/02/YetAnotherDialogSpoofingFirefoxBasicAuthentication.aspx