Das von Chapin Information Services (CIS) entdeckte Problem liegt in der Firefox-Komponente "Password Manager". So lässt sich diese dazu bringen, Zugangsdaten von Nutzern an die Web-Seite eines Angreifers zu schicken. Möglich soll eine derartige, von CIS als "Reverse Cross-Site-Request" (RCSR) bezeichnete Attacke im Prinzip auf jeder über den Mozilla-Browser angesteuerten Blogging- oder Social-Networking-Site sein, die vom Nutzer beigesteuerten HTML-Code zulässt.
Auch bei dem Ende Oktober von Netcraft gemeldeten Phishing-Angriff auf MySpace-Nutzer handelte es sich laut Chapin um eine RCSR-Attacke: Dabei wurden auf der MySpace-Seite gefälschte Log-in-Formulare verwendet, die User dazu aufforderten, ihre Nutzernamen und Passwörter einzugeben. Die so abgegriffenen Daten wurden dann an eine andere Web-Site weitergeleitet.
Firefox-Entwickler haben die Schwachstelle einem Eintrag in der Bugzilla-Datenbank zufolge mittlerweile bestätigt und als kritisch eingestuft. Das Problem besteht laut CIS-President Robert Chapin darin, dass der Passwort Manager Zugangdaten vorschnell weiterleite und zudem nicht sicherstelle, dass die Informationen auch tatsächlich an den Server gesendet werden, der sie angefordert hat. So prüfe der Browser zwar, ob das Formular von einer MySpace-Domain stamme, nicht aber, dass die angefragte Nutzerinformation auch tatsächlich an einen MySpace-Server zurück gesendet werde.
Anfällig für RCSR-Attacken ist laut Chapin allerdings nicht nur der Mozilla-Browser, sondern auch Microsofts Internet Explorer (IE). Wie der Firefox stelle auch der IE nicht sicher, dass Passwortinformationen an den anfragenden Server gesendet werden. Dennoch sei es schwieriger, den IE auszutricksen, da dieser die Herkunft des Log-ins sorgfältiger prüfe, bevor er Nutzerinformationen weiterreiche. (kf)