以色列安全專家發(fā)現(xiàn)火狐瀏覽器Firefox處理顯示身份識別對話框的方式中存在一個安全漏洞，能夠讓釣魚攻擊者獲得用戶名和口令等信息。限制訪問網(wǎng)站的基本方法是要求提供用戶名和口令。這個身份識別對話框在遠(yuǎn)程實例名稱“Realm”(區(qū)域)的旁邊，還顯示有關(guān)發(fā)出這個身份識別請求的服務(wù)器的信息?；鸷鼮g覽器顯示這個“區(qū)域”的方式上似乎有些漫不經(jīng)心。安全人員稱，任何人使用一個引號和空格鍵都可以制作一個對話框，欺騙用戶相信他們看到的是一個可信賴的網(wǎng)站，盡管這個對話框?qū)嶋H上是來自一個釣魚網(wǎng)站。
    Raff制作了一個視頻文件，在他的網(wǎng)站上演示這個問題。要成功地實施攻擊，受害者必須要點擊惡意網(wǎng)站上的一個特別制作的鏈接。但是，受害者不會明顯地感覺到攻擊的發(fā)生。例如，一個看起來好像連接到亞馬遜網(wǎng)站的一個圖書列表的無害的MySpace網(wǎng)頁可能會欺騙用戶相信這個由惡意服務(wù)器發(fā)出的假冒的登錄對話框是真實的。不過，這個修改的登錄程序應(yīng)該使用戶懷疑有些事情可能不對。
    這篇報告稱，這個安全漏洞影響到火狐2.0.0.11版瀏覽器軟件，并且可能影響到早期版本的火狐瀏覽器。其它Mozilla基金會的產(chǎn)品也可能受到影響。目前還沒有修復(fù)這個安全漏洞的補丁。Raff建議用戶不要想顯示這種對話框的網(wǎng)站輸入用戶名和口令信息。