近期,Mozilla修复了Firefox浏览器中的一个密码管理漏洞,攻击者可利用该漏洞非法获取存储在浏览器中其他网站的登录密码。
在最新的浏览器版本Mozilla Firefox 68.0.2中,该漏洞已被修复。由于Firefox浏览器中Firefox Password Manager功能的“主密码”可被轻易绕过,导致他人可在未经身份验证的情况下获取浏览器中存储的密码。
根据Mozilla发布的公告,在已设置主密码的情况下,如果想访问已保存的用户登录其他网站的凭证,就必须先验证主密码。但是,研究人员发现,当攻击者选定登录信息,右击,选择“复制密码”,即可把密码复制到剪贴板,虽然有主密码输入提示,但无需输入主密码,导致该权限验证成为摆设。
该漏洞被跟踪为CVE-2019-11733,漏洞等级为“中等”。
在正常情况下,设置主密码后,必须提供主密码才能从“已保存的登录”菜单访问已保存的登录凭据。用户也可以通过点击“显示密码”按钮,输入主密码来查看已存储的密码。
最新版本已解决了这一漏洞,在已设置了主密码的情况下,不提供主密码就无法使用“复制密码”功能。
Naked Security作者Paul Ducklin还指出,Firefox的密码管理器还有另一个重要缺陷,就是默认不需要主密码。
Ducklin在发表的一篇文章中写道:“顺便说一句,即使没有主密码安全问题,Firefox的密码管理器也存在安全争议。密码管理器在默认情况下都是启用的,但默认没有主密码。如果不进行额外的主密码设置,任何人都可直接看到已存储密码;而一旦进行设置,这个漏洞又直接导致主密码失效。总而言之,全世界Firefox浏览器存储的密码都处于不安全的状态。”
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场:https://nosec.org/home/detail/2875.html
来源:https://securityaffairs.co/wordpress/89938/hacking/firefox-master-password-bug.html
1913
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
