Mozilla Firefox tarafından yayınlanan en son güncelleme, yerleşik şifre yöneticisinin ana şifresini atlamak ve saklanan şifreleri elde etmek için kullanılabilecek bir güvenlik açığını yamadı.
“Orta derecede etki” olarak sınıflandırılan ve CVE-2019-11733 olarak tanımlanan zafiyet, Çarşamba günü Firefox 68.0.2’nin piyasaya sürülmesiyle düzeltildi.
Kullanıcılar, kayıtlı oturum açma bilgilerine yetkisiz kullanıcılar tarafından erişilememesini sağlamak için Firefox’ta yerleşik şifre yöneticisi için bir ana şifre ayarlayabilir. Kayıtlı Girişler menüsüne girdiklerinde, kullanıcıların şifreleri görmek için “Şifreleri Göster” düğmesine basmaları ve ayarlanmışsa ana şifreyi girmeleri gerekir.
Ancak Mozilla, kullanıcıların bir girişi sağ tıklayıp “Kopyala Şifre” yi seçebileceklerini ve parolanın ana parolayı girmek zorunda kalmadan panoya kopyalanacağını öğrendi.
En son Firefox güncellemesi sorunu çözer ve şimdi “Parolayı Kopyala” seçeneğini kullanıyorlarsa, kullanıcılardan ana parola girmeleri istenir.
“Mozilla bu düzeltmeyi“ orta ”olarak değerlendirdi – sonuçta, herhangi bir yerden herhangi bir zamanda yalnızca web şifreleri çıkarmasına izin vermiyor – ancak bir Firefox kullanıcısıysanız, güncel olup olmadığınızı kontrol etmeye değer” dedi. Sophos ‘Paul Ducklin bir blog yazısında .
Ducklin tarafından öne sürülen bir diğer sorun, Firefox’ta şifre yöneticisinin varsayılan olarak açık olması, ancak kullanıcıların varsayılan olarak ana şifre belirlemeleri gerekmemesidir.
Uzman, “Başka bir deyişle, varsayılan bir Firefox kurulumu, esasen her zaman bu makalede açıklanan hatadan muzdariptir, çünkü varsayılan olarak kullanılan ana şifre yoktur ve bu nedenle asla bir şifre girmenize gerek yoktur” dedi.
Securityweek