De Nederlandse beveiligingsonderzoeker Ronald van den Heetkamp heeft een lek in Firefox gevonden waardoor aanvallers vertrouwelijke informatie kunnen stelen, zoals logins en wachtwoorden. Volgens van den Heetkamp is het mogelijk om alle variabelen en geregistreerde objecten die zich binnen Javascript bestanden bevinden te lezen. Zelfs het aanroepen van bepaalde functies behoort tot de mogelijkheden. Het gaat om onder andere lokale Mozilla config bestanden en alle geregistreerde extensies.

De onderzoeker testte zijn aanval tegen de Firefox extensie Fire Encypter, en wist een dynamisch gegenereerd wachtwoord te stelen. "Het is mogelijk om actief variabelen te scannen en te kapen wanneer de aanvaller dat wenst."

"Het betekent dat iedereen elk Javascript bestand binnen de chrome:// context kan bereiken en via een eenvoudige Ajax instance al deze informatie op een server kan loggen. Systeem functies kun je zover ik weet niet oproepen. Wel functies in plugins en extensies zijn vrij benaderbaar," zo laat van den Heetkamp tegenover Security.NL weten.

De onderzoeker waarschuwt dat een aanvaller de kwetsbaarheid kan gebruiken voor een denial of service, het schenden van de privacy, achterhalen van informatie en mogelijk onbekende aanvallen.

"Het is me door tijdgebrek nog niet gelukt om de zogenaamde "preferences" te lezen, die bestanden zitten eigenlijk ook niet in de chrome:// context, maar omdat de chrome:// benaderbaar is, is het wellicht mogelijk om een plugin te vragen om een "preference" te lezen en deze terug te sturen naar de chrome://. Dit is puur theoretisch, maar het stelt wel erg veel nieuwe opties beschikbaar voor verdere exploits."