De fout zit in het wachtwoordbeheerdeel van de browser die kan worden misleid waardoor wachtwoorden naar een andere site kunnen worden gestuurd.

Om deze aanval te kunnen uitvoeren, is het wel noodzakelijk dat de aanvallers html-formulieren op de doelwebsite kunnen plaatsen.

Dit wordt vaak toegestaan op blogs en sociale netwerksites als Myspace, zo meldt ontdekker Robert Chapin van Chapin Information Services deze week in een advisory.

Eind oktober blijkt het lek al te zijn misbruikt via een Myspace-account. De hacker in kwestie had op zijn pagina het inlogsysteem van Myspace nagebouwd. Zodra iemand op zijn pagina kwam werden automatisch de Myspace-gegevens ingevuld.

Volgens Chapin is dit gevaarlijk omdat Myspace niet controleert of de ingevulde gegevens ook daadwerkelijk binnen het Myspace-domein blijven.

Chapin heeft zijn ontdekking 'reverse cross-site request' gedoopt. Ook Internet Explorer zou vatbaar zijn voor dergelijke aanvallen. De kans hierop is echter klein, omdat deze browser controleert welke server het inlogformulier serveert. Bron: Techworld