Passwortmanager von Firefox war ein offener Tresor
Mozilla hat in Firefox verwahrte Kennwörter mit einem Sicherheitsupdate effektiver verbarrikadiert.
Angreifer hätten mit vergleichsweise wenig Aufwand auf in Firefox lokal gespeicherte Passwörter zugreifen können. Mozillas Webbrowser bringt ab Werk einen Passwortmanager mit, speichert auf Wunsch Kennwörter von Onlinediensten und füllt entsprechende Felder auf Websites automatisch aus. Mozilla hat das von der Schwachstelle (CVE-2019-11733) ausgehende Risiko als "moderat" eingestuft.
Die aktuelle Ausgabe 68.0.2 ist repariert, schreiben die Mozilla-Entwickler in einem Beitrag. Von der Schwachstelle soll auch Firefox ESR betroffen sein. Für eine erfolgreiche Attacke muss ein Angreifer jedoch lokalen Zugriff auf einen Computer haben. Ist das gegeben, könnte er ohne das Master-Passwort eingeben zu müssen in den Firefox-Einstellungen Passwörter im Klartext in die Zwischenablage kopieren.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Inhalt geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Wer den Passwortmanager nutzt, sollte darauf achten, das Master-Passwort zu aktivieren – standardmäßig ist das nämlich nicht der Fall. Ist es aktiv, hat man erst nach dessen Eingabe Zugriff auf gespeicherte Kennwörter und erschwert so Dritten den Einblick.
Lesen Sie dazu auch:
[UPDATE, 20.08.2019 09:10 Uhr]
Mittlerweile hat Mozilla die Warnmeldung umformuliert:
Das von der Schwachstelle ausgehende Risiko ist nur als "moderat" eingestuft, weil der Zugriff auf in Firefox gespeicherte Passwörter nur funktioniert, wenn in einer Session das Master-Passwort bereits einmal eingegeben wurde. Kommt nun ein Angreifer ins Spiel, kann er Kennwörter ohne eine erneute Eingabe via Copy & Paste aus der Passwort-Liste kopieren.
Ein derartiges Angriffsszenario ist aber gar nicht so unwahrscheinlich, da Nutzer das Master-Passwort immer dann eingeben müssen, wenn sie eine Website mit gespeicherten Log-in-Daten aufrufen. (des)
