Mozilla为Firefox发布的最新更新修补了一个漏洞,该漏洞可被利用来绕过内置密码管理器的主密码并获取存储的密码。
该漏洞被归类为“中度影响”并被追踪为CVE-2019-11733,随着Firefox 68.0.2的发布,该漏洞已于周三被修补。
用户可以为Firefox内置的密码管理器设置主密码,以确保未经授权的用户无法访问保存的登录信息。当用户访问保存的登录菜单时,用户必须按“显示密码”按钮才能看到密码,如果已设置密码,则必须输入主密码。
但是,Mozilla了解到用户只需右键单击某个条目并选择“复制密码”,密码就会被复制到剪贴板而无需输入主密码。
最新的Firefox更新解决了该问题,如果用户使用“复制密码”选项,则会提示用户输入主密码。
Sophos的Paul Ducklin在一篇博文中表示,“Mozilla将此修复程序评为“适度” - 毕竟,它不会让任何人随时随地提取网页密码 - 但如果您是Firefox用户,则值得检查您是否是最新的版本。”
Ducklin突出显示的另一个问题是Firefox中默认启用了密码管理器,但默认情况下用户不需要设置主密码。
专家表示,“换句话说,默认的Firefox设置基本上都会受到本文中描述的错误的影响,因为默认情况下没有使用主密码,因此您永远不需要输入密码。”
文章翻译自:Security Week
领取专属 10元无门槛券
私享最新 技术干货