Menü
Alert!

Passwortmanager von Firefox war ein offener Tresor

Mozilla hat in Firefox verwahrte Kennwörter mit einem Sicherheitsupdate effektiver verbarrikadiert.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 231 Beiträge
Update
Von

Angreifer hätten mit vergleichsweise wenig Aufwand auf in Firefox lokal gespeicherte Passwörter zugreifen können. Mozillas Webbrowser bringt ab Werk einen Passwortmanager mit, speichert auf Wunsch Kennwörter von Onlinediensten und füllt entsprechende Felder auf Websites automatisch aus. Mozilla hat das von der Schwachstelle (CVE-2019-11733) ausgehende Risiko als "moderat" eingestuft.

Die aktuelle Ausgabe 68.0.2 ist repariert, schreiben die Mozilla-Entwickler in einem Beitrag. Von der Schwachstelle soll auch Firefox ESR betroffen sein. Für eine erfolgreiche Attacke muss ein Angreifer jedoch lokalen Zugriff auf einen Computer haben. Ist das gegeben, könnte er ohne das Master-Passwort eingeben zu müssen in den Firefox-Einstellungen Passwörter im Klartext in die Zwischenablage kopieren.




Wer den Passwortmanager nutzt, sollte darauf achten, das Master-Passwort zu aktivieren – standardmäßig ist das nämlich nicht der Fall. Ist es aktiv, hat man erst nach dessen Eingabe Zugriff auf gespeicherte Kennwörter und erschwert so Dritten den Einblick.

Lesen Sie dazu auch:

[UPDATE, 20.08.2019 09:10 Uhr]

Mittlerweile hat Mozilla die Warnmeldung umformuliert:

Das von der Schwachstelle ausgehende Risiko ist nur als "moderat" eingestuft, weil der Zugriff auf in Firefox gespeicherte Passwörter nur funktioniert, wenn in einer Session das Master-Passwort bereits einmal eingegeben wurde. Kommt nun ein Angreifer ins Spiel, kann er Kennwörter ohne eine erneute Eingabe via Copy & Paste aus der Passwort-Liste kopieren.

Ein derartiges Angriffsszenario ist aber gar nicht so unwahrscheinlich, da Nutzer das Master-Passwort immer dann eingeben müssen, wenn sie eine Website mit gespeicherten Log-in-Daten aufrufen. (des)