Firefox 2.0.0.5 çikali daha birkaç gün olmusken yeni bir açik karsimizda. Açik oldukça da ciddi; sayet Firefox'un sifrelerinizi hatirlamasina müsaade ediyorsaniz "uygunsuz" bir javascript gömülü herhangi bir web sayfasi ile kullanici adiniz ve sifreniz ögrenilebiliyor.
Firefox 2.0'in sifre hatirlatma uyarisi..
Denemesi de bedava: Alman Heise üsenmemis ve açigi denemenizi saglayan bir sayfa hazirlamis. Maalesef "çalisiyor":
http://www.heise-security.co.uk/services/browsercheck/demos/moz/pass1.shtml
Yeni bir güncelleme gelene veya bu özellik tümden iptal edilene kadar dikkatli olmanizi tavsiye ederiz. Açik tüm isletim sistemleri için geçerli. Cem arkadasimiz Mac Os altinda Safari'nin de ayni açiktan etkilendigini teyit ediyor. Fakat Camino gibi yine Gecko tabanli bir diger tarayici da örnek kod çalismamis. Örnek kod Opera'da da çalismiyor.
Firefox ekibi yine bu sifre hatirlama mekanizmasini kullanan ama bu sefer Javascript kullanmayan bir diger açigi daha önce kapatmisti. Tarayici, kullanici adi ve sifrenin gönderildigi hedef adresi o zamanlar kontrol etmemekteydi, bu eksik bilahare giderilmisti.
Bu haberi göremediğim için ceviz.net'e yazdım.