image

Firefox 2.0 lekt wachtwoorden

woensdag 22 november 2006, 11:40 door Redactie, 12 reacties

Een nieuw ontdekt beveiligingslek in Firefox 2.0 zorgt ervoor dat aanvallers opgelagen wachtwoorden kunnen stelen zonder dat een gebruiker dit door heeft. Het probleem wordt veroorzaakt door een lek in de Firefox Password Manager die misbruikt kan worden om gebruikersnamen en wachtwoorden naar een aanvaller te sturen.

Volgens de ontdekkers gaat het om een "Reverse Cross-Site Request" lek, waarbij aanvallers webformulieren op legitieme websites plaatsen. Firefox vult automatisch opgeslagen gebruikersnamen en wachtwoorden in dit soort formulieren. Het probleem is dat de bestemming van de ingevulde gegevens niet gecontroleerd wordt voordat de gebruiker die submit. Daarnaast kan een aanvaller een webformulier voor het zicht verbergen. Firefox vult dan automatisch gebruikersnaam en wachtwoord in. Als de gebruiker dan ook nog op een onzichtbare "image link" klikt, worden de gegevens verstuurd.

Mozilla heeft bevestigd dat het om een bug gaat, en zou al aan een oplossing werken in versie 2.0.0.1 of 2.0.0.2. Ook Internet Explorer zou kwetsbaar zijn, maar het lek is daar minder ernstig omdat het formulier om gegevens te stelen op dezelfde pagina als het legitieme loginformulier moet staan. Meer informatie is te vinden in deze advisory waarin ook een demonstratie is te vinden.

Reacties (12)
22-11-2006, 13:04 door Anoniem
Ik laat nooit wachtwoorden en overige gegevens onthouden door software,
je weet tenslotte nooit welke fouten er in de toekomst (nu dus) gevonden
worden. Het betekent alleen wat meer klopwerk, zo nu en dan.
Gebruiksgemak v.s. veiligheid, een keuze die je maakt ...
22-11-2006, 15:05 door [Account Verwijderd]
[Verwijderd]
22-11-2006, 15:07 door Anoniem
Ik heb er vreemd genoeg geen last van :S
22-11-2006, 18:12 door G-Force
Het is zowiezo aan te raden om password managers van Opera,
Firefox en SeaMonkey niet te gebruiken en als het kan,
eventueel te legen.
22-11-2006, 23:58 door Anoniem
Als ik ingelogd was ergens op een Forum Is het me al zeker
5x overkomen dat wachtwoord en gebruikersnaam ineens verdwenen
was.
Vooral de laatste week!
23-11-2006, 07:54 door Anoniem
Door Beukenoot
Als ik ingelogd was ergens op een Forum Is het me al zeker
5x overkomen dat wachtwoord en gebruikersnaam ineens verdwenen
was.
Vooral de laatste week!

Dan is je wachtwoord (meestal versluiteld of gehashed) in een cookie
opgeslagen. Als je vaak je cookie's leeg schopt dan komt dit voor.
23-11-2006, 09:14 door Anoniem
Ik als rooky bij FireFox had dit gevoel al sind FF er op stond.
Vooral als ik bezig was een berichtje in te typen.(zie bericht hier boven)
En laat ik nu al mijn persoonlijke gegevens ingetypt hebben
om op een Forum geregistreert te staan. Ineens Foetsie.
Bij IE lukte het wel,maar ik zie tijdens mijn sessies dat ,A het beeld even
ietsjes beweegt,en B weer uitgelogd.
Voorlopig zit FF in de Prullebak. Weet iemand iets veiligers?
23-11-2006, 11:27 door Anoniem
Dat klinkt eerder als een fout aan de kant van de
forum-site, en is bovendien meer een interface probleem dan
een security hole.

Dat FF wachtwoorden lekt is wel een grote fout, maar dat is
'maar' een bug, de 'show passwords' optie vind ik echter
belachelijk.

Ik kan er met mijn hoofd niet bij dat je gewoon de
opgeslagen wachtwoorden op kan vragen. Welk nut heeft dat
nou, behalve als je een wachtwoord van iemand anders wil weten.

Overigens spel je geregistreerd met een d, en prullenbak met
een n.
23-11-2006, 13:56 door [Account Verwijderd]
[Verwijderd]
23-11-2006, 14:35 door Anoniem
ja, zo zie je maar dat blind vertrouwen, ook in FF,
onterecht blijkt en afgestraft wordt.
dat neemt niet weg dat ik een aanhanger blijf van FF. ik
maak de wachtwoordenlijst wel ff leeg :o)
23-11-2006, 15:35 door Anoniem
Ik sta weer met de voeten op de grond.
Wel een typefout gemaakt in de haast. (druk)
En onder Anoniem zitten soms bekenden. :o)
Mocht ik nou even niet reageren,ik vrees dat ik verhuiswagen moet vullen.
En wel meer van die dingen.
Wie er goed kan behangen is welkom.
Even de groetjes, al weet ik altijd wel een PC te staan.
23-11-2006, 19:10 door Sebastian
Door Rookie
Dat klinkt eerder als een fout aan de kant van de
forum-site(...)
Dit geldt als aandachtspunt voor alle
toepassingen waar derden code kunnen plaatsen c.q. injecteren.
Neem bijvoorbeeld HTML-email en webmail.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.