بنیاد موزیلا با انتشار بهروزرسانی جدید برای مرورگر وب فایرفاکس، یک آسیبپذیری با شدت «متوسط» را که میتواند برای دورزدن رمز عبور اصلی (Master Password) مدیریت رمز عبور داخلی فایرفاکس و دسترسی به رمزهای عبور ذخیرهشده در آن مورد بهرهبرداری قرار بگیرد، وصله کرده است. این آسیبپذیری که با شناسهی CVE-2019-11733 ردیابی میشود، با انتشار نسخهی ۶۸٫۰٫۲ فایرفاکس وصله شد.
در فایرفاکس، کاربران میتوانند با تنظیم یک رمز عبور اصلی برای مدیریت رمز عبور داخلی این مرورگر وب، از عدم دسترسی کاربران غیرمجاز به اطلاعات ورودی ذخیرهشده اطمینان حاصل کنند. بهمنظور مشاهدهی رمزهای عبور ذخیرهشده، کاربران بایستی از منوی «ورودیهای ذخیرهشده- Saved Logins»، گزینهی «نمایش رمزهای عبور- Show Passwords» را انتخاب کرده و درصورت تنظیم یک رمز عبور اصلی، باید آن را نیز وارد کنند. بااینحال، موزیلا اخیرا متوجه شده است که کاربران میتوانند بهسادگی و تنها با کلیک راست کردن بر روی یک ورودی و انتخاب گزینهی «کپیکردن رمز عبور- Copy Password»، رمزهای عبور را بدون نیاز به واردکردن رمز عبور اصلی در کلیپ بورد (clipboard) کپی نمایند.
این بنیاد با انتشار آخرین بهروزرسانی برای فایرفاکس این مشکل را حل کرده و در نتیجهی آن، درحالحاضر از کاربران خواسته میشود تا درصورت استفاده از گزینهی «کپیکردن رمز عبور- Copy Password»، رمز عبور اصلی را نیز وارد نمایند. به گفتهی پاول داکلین (Paul Ducklin) از شرکت امنیت فناوری اطلاعات سوفوس (Sophos)، اگرچه بهرهبرداری از این آسیبپذیری در هر زمان و هر کجا اجازهی استخراج رمزهای عبور وب را به هر کسی نمیدهد، اما دانلود و نصب نسخهی بهروزرسانیشده برای کاربران توصیه میشود.
یکی دیگر از مشکلاتی که توسط داکلین به آن اشاره شده است، این است که مدیریت رمز عبور بهطور پیشفرض در فایرفاکس فعال بوده، اما بهصورت پیشفرض لازم نیست که کاربران که یک رمز عبور اصلی را تنظیم کنند. به گفتهی این محقق امنیتی، از آنجایی که هیچ رمز عبور اصلی بهطور پیش فرض تنظیم نمیشود، بنابراین کاربران نیز هرگز نیازی به واردکردن آن ندارند!
