Firefox verrät Passwort-Informationen

Angreifer können eine Lücke in Firefoxs Passwort-Manager-Software missbrauchen, um an Passwort-Informationen zu gelangen. Dazu müssen die Angreifer auf den betroffenen Webseiten nur HTML-Formulare gestalten können. Dies ist vor allem auf Seiten wie Myspace möglich. Im Oktober 2006 haben Angreifer beispielsweise einen Myspace-Account namens login_home_index_html registriert und ihn als gefälschte Log-in-Seite betrieben. Firefox-Entwickler stufen diese Schwachstelle als kritisch ein. Der Passwort-Manager prüft Anfragen nicht kritisch genug, bevor er Anwender-Informationen verschickt. Zudem wird nicht überwacht, ob die Informationen an den richtigen Server versendet worden sind. Microsofts Internet Explorer (IE) kann ebenfalls Opfer solcher Attacken werden, da auch er nicht überprüft, ob der richtige Server die Informationen erhalten hat. Im Gegensatz zu Firefox prüft der IE zumindest, woher das Log-in-Formular gekommen ist, bevor er Passwort-Informationen frei gibt.