Firefox 2-bug maakt wachtwoorden openbaar

De Mozilla Foundation heeft bekendgemaakt dat Firefox 2.0 een lek bevat, waarmee wachtwoorden uit de Password Manager openbaar kunnen worden gemaakt. Volgens onbevestigde berichten heeft Internet Explorer hetzelfde gebrek.

Met de [bug] kunnen de gebruikersnaam en het wachtwoord naar een ander domein worden doorgegeven dan waarvoor ze bedoeld zijn. Met behulp van javascript kan een form met de gebruikersgegevens zelfs vrijwel onzichtbaar door een hacker worden opgevraagd, zodat phishers zich de moeite van een goedgelijkende website kunnen besparen: een gebruiker hoeft een website maar te bezoeken en zijn wachtwoord ligt op straat. Het is overigens wel vereist dat de phishing-code op het domein wordt gehost waarvoor het password bedoeld is, maar accounts op sites waar gebruikers zelf html kunnen publiceren, zoals MySpace, zijn dankzij deze bug zeer kwetsbaar.Lek nummer 360493 staat inmiddels bekend als de ‘Reverse Cross-Site Request-vulnerability’, en de eerste exploits zijn al in het wild gesignaleerd. Het verdient dan ook aanbeveling om de Password Manager van Firefox voorlopig uit te schakelen. Een alternatief is het gebruik van de Master Password Timeout-extensie, die het lek niet dicht maar in elk geval voor een waarschuwing kan zorgen. Een structurele oplossing voor het ‘bijzonder ernstig’ genoemde lek is in de maak. Mozilla-ontwikkelaars beschouwen dit lek als ‘blocking’, wat zoveel wil zeggen als dat een volgende versie van de opensourcebrowser niet zonder een oplossing uitgebracht mag worden.