De Password Manager in Firefox kan door hackers misbruikt worden om gebruikersnamen en wachtwoorden te achterhalen, zonder dat je iets in de gaten hebt. De techniek die hiervoor gebruikt wordt, heeft men Reverse Cross-Site Request gedoopt.

De klassieke manier van een hacker om gegevens te achterhalen, is om de gebruiker op een slinkse manier naar een ‘valse’ website te sturen. Maar deze Reverse Cross-Site Request maakt gebruik van de eigenlijke site. De gegevens worden namelijk uitgewisseld tussen twee verschillende pagina’s van hetzelfde vertrouwde domein. Op veel sites, zoals blogs of forums, kunnen gebruikers zelf (profiel)pagina’s aanmaken, die dan voor deze techniek misbruikt kunnen worden.

De bug werd enkele dagen geleden voor het eerst gevonden op MySpace.com. Robert Chapin, de ontdekker van de bug, toont op zijn website met een proof of concept hoe het misbruik in zijn werk gaat.

Deze techniek kan ook toegepast worden bij Internet Explorer, maar de slaagkansen van deze exploit zijn aanzienlijk groter bij Firefox. Mozilla is op de hoogte van deze bug en werkt aan een update. In de tussentijd kunt u de Password Manager in Firefox het best uitschakelen. Dat doet u via ‘Extra’, ‘Opties’, waar u het vinkje naast ‘Wachtwoorden voor websites onthouden’ verwijdert.

External links

Chapin Information Services

External links

Bugzilla