Firefox Passwort-Manager verrät Passwörter

Allgemein

Heute hat die Mozilla Foundation einer Warnung für den Open-Source-Browser Firefox herausgegeben: Der Passwort-Manager hat die unangenehme Eigenheit, anderen Usern Log-Ins und Passwörter zu verraten.

Robert Chapin, der Entdecker des gefährlichen Bugs, nennt den Fehler Reverse Cross-Site Request
(RCSR) Vulnerability. Der Browser legt Log-In-Namen und Passwörter für eine Seite einer Domain auch gegenüber anderen Seiten dieser Domain offen. Chapin hat den Fehler über einen Exploit auf MySpace.com entdeckt: Ein gefälschtes Log-In-Formular, in das der Passwort-Manager seines Firefox automatisch seinen Usernamen und das Passwort eingetragen hat. Der Phishing-Versuch ist Chapin nur aufgefallen, weil demAuto des gefälschten Formulars ein winziger Fehler bei der Formatierung unterlaufen ist. Mehr zu dem Bug bei Mozilla.
Die Mozilla-Leute empfehlen den Passwort-Manager vorerst nicht mehr zu verwenden und auch von der Master Password Timeout Firefox Extension die Finger zu lassen. (Nick Farell/kla)

Linq