Nieuws

Firefox 2.0 lekt wachtwoorden

woensdag 22 november 2006, 11:40 door Redactie, 12 reacties

Een nieuw ontdekt beveiligingslek in Firefox 2.0 zorgt ervoor dat aanvallers opgelagen wachtwoorden kunnen stelen zonder dat een gebruiker dit door heeft. Het probleem wordt veroorzaakt door een lek in de Firefox Password Manager die misbruikt kan worden om gebruikersnamen en wachtwoorden naar een aanvaller te sturen.

Volgens de ontdekkers gaat het om een "Reverse Cross-Site Request" lek, waarbij aanvallers webformulieren op legitieme websites plaatsen. Firefox vult automatisch opgeslagen gebruikersnamen en wachtwoorden in dit soort formulieren. Het probleem is dat de bestemming van de ingevulde gegevens niet gecontroleerd wordt voordat de gebruiker die submit. Daarnaast kan een aanvaller een webformulier voor het zicht verbergen. Firefox vult dan automatisch gebruikersnaam en wachtwoord in. Als de gebruiker dan ook nog op een onzichtbare "image link" klikt, worden de gegevens verstuurd.

Mozilla heeft bevestigd dat het om een bug gaat, en zou al aan een oplossing werken in versie 2.0.0.1 of 2.0.0.2. Ook Internet Explorer zou kwetsbaar zijn, maar het lek is daar minder ernstig omdat het formulier om gegevens te stelen op dezelfde pagina als het legitieme loginformulier moet staan. Meer informatie is te vinden in deze advisory waarin ook een demonstratie is te vinden.

Oude mobieltjes schatkist voor identiteitsdieven

Microsoft demonstreert Oracle wat veiligheid is

Reacties (12)

22-11-2006, 13:04 door Anoniem

Ik laat nooit wachtwoorden en overige gegevens onthouden door software,
je weet tenslotte nooit welke fouten er in de toekomst (nu dus) gevonden
worden. Het betekent alleen wat meer klopwerk, zo nu en dan.
Gebruiksgemak v.s. veiligheid, een keuze die je maakt ...

22-11-2006, 15:05 door [Account Verwijderd]

[Verwijderd]

22-11-2006, 15:07 door Anoniem

Ik heb er vreemd genoeg geen last van :S

22-11-2006, 18:12 door G-Force

Het is zowiezo aan te raden om password managers van Opera,
Firefox en SeaMonkey niet te gebruiken en als het kan,
eventueel te legen.

22-11-2006, 23:58 door Anoniem

Als ik ingelogd was ergens op een Forum Is het me al zeker
5x overkomen dat wachtwoord en gebruikersnaam ineens verdwenen
was.
Vooral de laatste week!

23-11-2006, 07:54 door Anoniem

Door Beukenoot
Als ik ingelogd was ergens op een Forum Is het me al zeker
5x overkomen dat wachtwoord en gebruikersnaam ineens verdwenen
was.
Vooral de laatste week!

Dan is je wachtwoord (meestal versluiteld of gehashed) in een cookie
opgeslagen. Als je vaak je cookie's leeg schopt dan komt dit voor.

23-11-2006, 09:14 door Anoniem

Ik als rooky bij FireFox had dit gevoel al sind FF er op stond.
Vooral als ik bezig was een berichtje in te typen.(zie bericht hier boven)
En laat ik nu al mijn persoonlijke gegevens ingetypt hebben
om op een Forum geregistreert te staan. Ineens Foetsie.
Bij IE lukte het wel,maar ik zie tijdens mijn sessies dat ,A het beeld even
ietsjes beweegt,en B weer uitgelogd.
Voorlopig zit FF in de Prullebak. Weet iemand iets veiligers?

23-11-2006, 11:27 door Anoniem

Dat klinkt eerder als een fout aan de kant van de
forum-site, en is bovendien meer een interface probleem dan
een security hole.

Dat FF wachtwoorden lekt is wel een grote fout, maar dat is
'maar' een bug, de 'show passwords' optie vind ik echter
belachelijk.

Ik kan er met mijn hoofd niet bij dat je gewoon de
opgeslagen wachtwoorden op kan vragen. Welk nut heeft dat
nou, behalve als je een wachtwoord van iemand anders wil weten.

Overigens spel je geregistreerd met een d, en prullenbak met
een n.

23-11-2006, 13:56 door [Account Verwijderd]

[Verwijderd]

23-11-2006, 14:35 door Anoniem

ja, zo zie je maar dat blind vertrouwen, ook in FF,
onterecht blijkt en afgestraft wordt.
dat neemt niet weg dat ik een aanhanger blijf van FF. ik
maak de wachtwoordenlijst wel ff leeg :o)

23-11-2006, 15:35 door Anoniem

Ik sta weer met de voeten op de grond.
Wel een typefout gemaakt in de haast. (druk)
En onder Anoniem zitten soms bekenden. :o)
Mocht ik nou even niet reageren,ik vrees dat ik verhuiswagen moet vullen.
En wel meer van die dingen.
Wie er goed kan behangen is welkom.
Even de groetjes, al weet ik altijd wel een PC te staan.

23-11-2006, 19:10 door Sebastian

Door Rookie
Dat klinkt eerder als een fout aan de kant van de
forum-site(...)

Dit geldt als aandachtspunt voor alle
toepassingen waar derden code kunnen plaatsen c.q. injecteren.
Neem bijvoorbeeld HTML-email en webmail.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer