Sicherheitslücke im neuen Firefox-Browser

Firefox-Browser plaudert Passwörter aus

Mozillas neuer Firefox-Browser wurde beim Plaudern erwischt. Was auf den ersten Blick amüsant klingt, ist in Wirklichkeit ein ernstzunehmendes Sicherheitsleck. Der Passwort-Manager verrät bei einer neuen Phishing-Variante Passwörter ohne Warnmeldung. Angreifer können so die Zugangsdaten ausspähen, ohne dass der Nutzer etwas davon merkt.

Bei Myspace.com aufgefallen

Den Fehler entdeckte Robert Chapin durch Zufall und meldete ihn auf der Mozilla-Fehlerseite "Bugzilla". Chapin bemerkte den Bug, als er sich auf Myspace.com anmelden wollte. Auf der Seite verbarg sich ein gefälschtes Anmeldeformular, das der Firefox 2.0 automatisch und ohne eine Warnmeldung auszugeben mit Benutzername und Passwort von Chapin ausfüllte.

Zieladresse wird nicht überprüft

Der Browser füllte das Login-Formular mit den gemerkten Nutzerdaten aus, obwohl sich Chapin auf der Domain "membres.lycos.fr" befand. Der Grund: Die Passwort-Funktion im Browser überprüft nicht, ob die Zieladresse korrekt ist. Das gefälschte Formular enthielt das Attribut "http://membres.lycos.fr/adel188duran/plaguedoctor.php". Einen Bugfix gibt es bislang noch nicht. Bis ein Patch veröffentlicht wurde, ist es ratsam, den Passwort-Manager im Firefox-Browser zu deaktivieren. Dazu muss im Firefox 2.0 unter Extras/Einstellungen/Sicherheit das Häkchen bei "Passwörter speichern" entfernt werden. Zusätzlich sollten sämtliche Zugangsdaten und Kennwörter gelöscht werden, die bislang mit dem Manager gespeichert wurden.

Quelle:

http://www.onlinekosten.de/news/artikel/23545/0/...asswörter_aus  

aber man sollte ja grundsätzlih keine paßwörter und benutzernamen auf dem PC speichern.
wer zu bequem ist zahlt halt manchmal lehrgeld.
es gibt keinen 100% schutz, also sollte man immer vorsichtig sein und sein risiko selbst minimieren.
und noch ein guter tip, paßwörter nie länger als ein halbes jahr verwenden, gerade bei sehr wichtigen daten.  

zB [rth.txt]
 

unsichtbar und solange ich noch keine gedächtnisprobleme habe bleiben sie da drin und nur da.
wenn man aber damit probleme hat, dann auf einem externen speicher USB oder smart card hinterlegen  

Das man die sehen kann is klar, is ja auch keine große Kunst. Was ich meine ist, dass man die Passwörter so gestalten soll, das wenn sie gesehen werden, man nicht sofort darauf kommt, dass es sich um ein Passwort handelt. Telefonnummern und Namen sind zu Standart..
 

 

Neue Updates für den Firefox-Browser dürften bald bereit stehen. Die Entwickler von Mozilla haben auf ihren FTP-Servern zwei Updates veröffentlicht: eines für den Firefox 2.0 und eines für die ältere Version 1.5.

Noch nicht offiziell

Der Firefox 2.0 wird mit dem Update zur Version 2.0.0.1, die aktuellen Versionsnummer nach dem Update des Firefox 1.5 lautet 1.5.0.9. Die beiden Update-Dateien werden allerdings noch nicht als automatisches Update über den Browser angeboten, auch auf der offiziellen Internet-Seite der Mozilla-Foundation werden sie nicht erwähnt.

Die Dateien auf den FTP-Servern stehen für Nutzer der Betriebssysteme Windows, Linux und Mac OS X zur Verfügung.

Quelle: http://www.onlinekosten.de/news/artikel/23837/0/...uuml;r_den_Firefox