Firefox Passwort-Manager verrät Passwörter
Robert Chapin, der Entdecker des gefährlichen Bugs, nennt den Fehler Reverse Cross-Site Request
(RCSR) Vulnerability. Der Browser legt Log-In-Namen und Passwörter für eine Seite einer Domain auch gegenüber anderen Seiten dieser Domain offen. Chapin hat den Fehler über einen Exploit auf MySpace.com entdeckt: Ein gefälschtes Log-In-Formular, in das der Passwort-Manager seines Firefox automatisch seinen Usernamen und das Passwort eingetragen hat. Der Phishing-Versuch ist Chapin nur aufgefallen, weil demAuto des gefälschten Formulars ein winziger Fehler bei der Formatierung unterlaufen ist. Mehr zu dem Bug bei Mozilla.
Die Mozilla-Leute empfehlen den Passwort-Manager vorerst nicht mehr zu verwenden und auch von der Master Password Timeout Firefox Extension die Finger zu lassen. (Nick Farell/kla)