Se trata de una vulnerabilidad que permite al atacante el robo de los nombres de usuario y de sus respectivas contraseñas, ya que dicha información se envía a través del sitio web al que el usuario intenta acceder, y ni Firefox ni Internet Explorer están preparados para la verificación del destino al que se está enviando el formulario. Se da incluso la posibilidad del robo de la información ya citada en sitios web supuestamente seguros.
La vulnerabilidad se implementaría con la inyección de código HTML introducida por los usuarios del sitio web y permitida por los administradores de ese sitio web, por lo que se recomienda a los administradores la revisión de los códigos HTML que les son permitidos a los usuarios en sus mensajes.
En el caso de los usuarios de Firefox, el problema se vuelve más grave, ya que la herramienta de gestión de contraseñas de Firefox, "Password Manager", rellena automáticamente el formulario atacante, no ocurriendo de la misma manera con el navegador de Microsoft.
Desde Mozilla se ha asegurado que dicho fallo de seguridad se verá enmendado en la siguiente versión del navegador, la 2.0.0.1 o quizá la 2.0.0.2, por lo que se recomienda a los usuarios de dicho navegador desactivar el gestor de contraseñas, "Password Manager", hasta que el problema de seguridad se vea resuelto. Mientras tanto, desde Microsoft se afirma que son conscientes del problema y que, por el hecho de estar investigándose, no se comentarán detalles.
Fuentes: HispaMP3, Chapin Information Services (en inglés) y Libertad Digital.
