Wie in den CHIP News zu lesen war, wurde eine Schwachstelle, die Firefox-Komponente "Password Manager", im Mozilla-Browser entdeckt, die Nutzerinformationen wie Log-Ins und Passwörter verrät.

Fügt ein Hacker in eine Webseite eine von ihm selbsterstellte Passwortabfrage ein, so werden die Daten an den Hacker weitergeleitet und nicht an den eigentlichen Anmelde-Server.

Gemeldet wurde dieses ernstzunehmendes Sicherheitsleck von Robert Chapin auf der Mozilla-Problemseite Bugzilla.

Die Sicherheitslücke wurde von Mozilla bereits bestätigt. Mozilla empfiehlt, den Passwort-Manager zu deaktivieren, obwohl der Bug auch nicht dort abgespeicherte Passwörter betrifft.

Dazu muss im Firefox 2.0 unter Extras/Einstellungen/Sicherheit das Häkchen bei "Passwörter speichern" entfernt werden. Weiterhin wird geraten, sämtliche Zugangsdaten und Kennwörter, die bislang mit dem Manager gespeichert wurden, zu löschen.

Auf MySpace.com entdeckte Chapin bei der Anmeldung diesen Fehler. Dort verbarg sich ein gefälschtes Log-In-Formular, das der Firefox 2.0 automatisch, ohne vorher eine Warnmeldung auszugeben, mit Username und Passwort von Chapin ausfüllte.
Die Passwort-Funktion im Browser überprüfte nicht, ob die Zieladresse korrekt ist. Der Phishing-Versuch ist Chapin nur aufgefallen, weil dem Autor des gefälschten Formulars ein winziger Fehler bei der Formatierung unterlaufen ist.

 

Hier noch ein kleiner Tipp, wie man seine Passwörter besser schützen kann.

 

Wer weiterhin mit dem Firefox Browser im Web unterwegs sein möchte, wozu ich auch gehöre, sollte die Empfehlungen durchführen und künftig keinem Browser seine Passwörter mehr anvertrauen.
Die beste Methode ist immer noch, wichtige geheime Sachen nie aufzuschreiben, sondern im Kopf zu haben. Leichter gesagt als getan – vielleicht hilft diese Seite das eigene Gedächtnis zu trainieren, um fit im Kopf zu werden.