Jeremiah Grossman z White Hat Security informuje, że użytkownicy, którzy skonfigurowali swoje przeglądarki tak, by te automatycznie kończyły wypełnianie formularzy, mogą z łatwością paść ofiarą cyberprzestępców. Na przykład w Safari 4 i 5 dane do automatycznego wypełniania formularzy można łatwo ukraść za pomocą JavaScriptu.

Wystarczy, że przestępca stworzy szkodliwą witrynę, która zawiera różne pola formularza i umieści na niej skrypt, który kolejno wpisuje wszystkie możliwe pierwsze litery w polach. Gdy trafi na taką literę, mechanizm autouzupełniania w przeglądarce wypełni całe pole. Kradzieży można dokonać również za pomocą ukrytego formularza tak, by użytkownik nie zorientował się w sytuacji.

Grossman poinformował Apple'a o błędzie ponad miesiąc temu, jednak dotychczas nie otrzymał żadnej odpowiedzi.

Wiadomo, że na podobny atak podatny jest IE 6 i 7, a po połączeniu tej techniki z atakiem XSS również Chrome i Firefox.

[źródło: www.arcabit.pl]