Vorige maand werd bekend dat Firefox wachtwoorden en gebruikersnamen lekte. Mozilla verholp het probleem met een nieuwe versie, maar ook deze versie blijkt het lek te bevatten.
Het lek waarom het gaat zit in de manier waarop Mozilla Firefox automatisch webformulieren invult. Via cross-site scripting zou een aanvaller een webformulier kunnen plaatsen op legitieme websites om zo de wachtwoorden en gebruikersnamen te stelen. Het lek werd onder andere op de website MySpace uitgebuit. Dit lek zou opgelost moeten zijn in Firefox 2.0.0.1, maar het bleek anders te zijn. Deze versie is namelijk ook kwetsbaar voor het lek.
Het Reverse Cross-Site Request lek zit naast in Firefox 2.0.0.1 ook in versie 1.5.0.9 en 1.5.0.8. Ook Internet Explorer ontkomt er niet aan, het is met deze browser echter minder ernstig gesteld, omdat het formulier om gegevens te stelen op dezelfde pagina moet staan als het legitieme log-in formulier.
Mozilla is op de hoogte van dit probleem. Er wordt nogmaals aangeraden om de Password Manager en de Master Password Timeout-extensie uit te schakelen totdat Mozilla weer met een patch komt.
14 minuten geleden
