Angreifer hätten mit vergleichsweise wenig Aufwand auf in Firefox lokal gespeicherte Passwörter zugreifen können. Mozillas Webbrowser bringt ab Werk einen Passwortmanager mit, speichert auf Wunsch Kennwörter von Onlinediensten und füllt entsprechende Felder auf Websites automatisch aus. Mozilla hat das von der Schwachstelle (CVE-2019-11733) ausgehende Risiko als "moderat" eingestuft.

Die aktuelle Ausgabe 68.0.2 ist repariert, schreiben die Mozilla-Entwickler in einem Beitrag. Von der Schwachstelle soll auch Firefox ESR betroffen sein. Für eine erfolgreiche Attacke muss ein Angreifer jedoch lokalen Zugriff auf einen Computer haben. Ist das gegeben, könnte er ohne das Master-Passwort eingeben zu müssen in den Firefox-Einstellungen Passwörter im Klartext in die Zwischenablage kopieren.









Wer den Passwortmanager nutzt, sollte darauf achten, das Master-Passwort zu aktivieren – standardmäßig ist das nämlich nicht der Fall. Ist es aktiv, hat man erst nach dessen Eingabe Zugriff auf gespeicherte Kennwörter und erschwert so Dritten den Einblick.

(des)