Firefox 2.0.0.5: Sicherheitslücke im Passwort-Manager

In der kürzlich veröffentlichten Version 2.0.0.5 von Firefox wurde eine Sicherheitslücke im Passwort-Manager entdeckt.

Sicherheitsexperten sind auf eine Sicherheitslücke in Firefox 2.0.0.5 gestoßen, die im Passwort-Manager steckt. Firefox 2.0.0.5 war erst kürzlich erschienen. Die Lücke könnte es speziell präparierten Websites erlauben, die Passwörter des Anwenders zu stehlen. Die Voraussetzung hierfür ist, dass Javascript in Firefox aktiviert ist und der in Firefox integrierte Passwort-Manager zum Ablegen der Passwörter genutzt wird.

Damit die Sicherheitslücke zuschlagen kann, muss der Anwender zunächst auf eine Website gelotst werden, auf der Javascript genutzt wird und die ihn zur Eingabe eines User-Namens und eines Passworts auffordert. Die eingegebenen Daten werden beim erneuten Besuch der Website zum automatischen Ausfüllen der Eingabefelder genutzt. Durch die Sicherheitslücke können die eingegebenen Daten über Javascript direkt ausgelesen und an einen Angreifer weitergeleitet werden.

In Firefox existierte bereits eine ähnliche Sicherheitslücke bezüglich des Passwort-Managers, die bereits behoben wurde. Der Umweg über Javascript wurde dabei aber nicht berücksichtigt. Eine Diskussion der Firefox-Entwickler über die Lücke findet sich in diesem Bugzilla-Eintrag.

Als Gegenmaßnahme empfiehlt sich, Javascript auf Seiten, die zur Eingabe eines Passworts auffordern, zu deaktivieren. Mittlerweile ist außerdem bekannt geworden, dass auch Apples Browser Safari von der Sicherheitslücke betroffen ist. Auf dieser Seite können Sie überprüfen, ob der von Ihnen verwendete Browser von der Lücke betroffen ist. (PC-Welt/mja)