Een nieuw ontdekt beveiligingslek in Firefox 2.0 zorgt ervoor dat aanvallers opgelagen wachtwoorden kunnen stelen zonder dat een gebruiker dit door heeft. Het probleem wordt veroorzaakt door een lek in de Firefox Password Manager die misbruikt kan worden om gebruikersnamen en wachtwoorden naar een aanvaller te sturen.
Volgens de ontdekkers gaat het om een "Reverse Cross-Site Request" lek, waarbij aanvallers webformulieren op legitieme websites plaatsen. Firefox vult automatisch opgeslagen gebruikersnamen en wachtwoorden in dit soort formulieren. Het probleem is dat de bestemming van de ingevulde gegevens niet gecontroleerd wordt voordat de gebruiker die submit. Daarnaast kan een aanvaller een webformulier voor het zicht verbergen. Firefox vult dan automatisch gebruikersnaam en wachtwoord in. Als de gebruiker dan ook nog op een onzichtbare "image link" klikt, worden de gegevens verstuurd.
Mozilla heeft bevestigd dat het om een bug gaat, en zou al aan een oplossing werken in versie 2.0.0.1 of 2.0.0.2. Ook Internet Explorer zou kwetsbaar zijn, maar het lek is daar minder ernstig omdat het formulier om gegevens te stelen op dezelfde pagina als het legitieme loginformulier moet staan. Meer informatie is te vinden in deze advisory waarin ook een demonstratie is te vinden.
Deze posting is gelocked. Reageren is niet meer mogelijk.