Eind november werd bekend dat opgeslagen wachtwoorden en gebruikersnamen via een lek in Firefox 2 gestolen kunnen worden. Het probleem wordt veroorzaakt doordat Mozilla's browser automatisch de gegevens van webformulieren invult als hier door de pagina om gevraagd wordt. Via cross-site scripting zou een aanvaller op een legitieme website een webformulier kunnen plaatsen en zo de vertrouwelijke informatie stelen.
Het Reverse Cross-Site Request lek blijkt echter in de nieuwe Firefox update van woensdag, versie 2.0.0.1, nog steeds niet verholpen te zijn. Eerder liet Mozilla nog weten dat het inderdaad om een bug ging die men in versie 2.0.0.1 of 2.0.0.2 zou verhelpen. Naast Firefox 2 zijn ook versies 1.5.0.8 en 1.5.0.9 kwetsbaar.
Ook Internet Explorer is gevoelig voor Reverse Cross-Site Requests, maar het lek is daar minder ernstig omdat het formulier om gegevens te stelen op dezelfde pagina als het legitieme loginformulier moet staan. (SecuriTeam)
Deze posting is gelocked. Reageren is niet meer mogelijk.