Vorsicht: Passwort-Manager von Firefox verrät Passwörter

Robert Chapin, der Entdecker des gefährlichen Bugs, nennt den Fehler Reverse Cross-Site Request (RCSR) Vulnerability. Die Sicherheitslücke wurde von Mozilla bereits bestätigt, auch hat die Mozilla Foundation bereits eine Warnung für den Open-Source-Browser Firefox herausgegeben: Der Passwort-Manager hat die unangenehme Eigenheit, anderen Usern Log-Ins und Passwörter zu verraten. Der Browser legt Log-In-Namen und Passwörter für eine Seite einer Domain auch gegenüber anderen Seiten dieser Domain offen. Chapin hat den Fehler über einen Exploit auf MySpace.com aufgedeckt: Ein gefälschtes Log-In-Formular, in das der Passwort-Manager seines Firefox automatisch seinen Usernamen und das Passwort eingetragen hat.

Der Phishing-Versuch ist Chapin nur aufgefallen, weil dem Autor des gefälschten Formulars ein winziger Fehler bei der Formatierung unterlaufen ist. Mehr zu dem Bug bei Mozilla.
Mozilla empfiehlt, bis auf weiteres den Passwort-Manager nicht mehr zu verwenden und auch von der Erweiterung Master Password Timeout Firefox Extension unbedingt die Finger zu lassen. (kla/tkr)