Mozilla Firefox es un navegador de código abierto, multiplataforma, con interfaz gráfica de usuario, desarrollado por la Corporación Mozilla y cientos de voluntarios. Se basa en el motor XULRunner, desarrollado en su mayor parte utilizando el lenguaje XUL. Antes de la liberación de la versión 1.0 el
Mozilla acaba de indicar que está trabajando en una solución a una falla de seguridad de su browser FireFox llamada «Reverse Cross-Site Request» («RCSR«). Cuando esta falla es aprovechada, puede entregar a los «atacantes» todas las passwords guardadas por la víctima.
Los ataques de la RCSR también tienen como objetivo a Microsoft Internet Explorer pero, para el caso de FireFox, el resultado del ataque tiene más alta probabilidad de ser positivo.
El componente que administra las claves de FireFox («Password Manager«) puede ser «manejado» para que envíe un nombre de usuario y su clave a un computador remoto sin el consentimiento del usuario. La vulnerabilidad se genera debido a que el Password Manager no revisa adecuadamente el URL antes de automáticamente llenarlo con la información del usuario.
La falla puede ser usada para robar credenciales del usuario mediante formas maliciosas en el mismo dominio. Por ejemplo, el nombre de usuario y la clave de alguien que accede a Myspace será compartida junto con las credenciales del visitante.
Hasta el momento, el problema ha sido detectado en la versión 2.0.0 de FireFox pero no se descarta que otras anteriores también puedan verse afectadas.
De acuerdo a Robert Chapin, de Chapin Information Services, quién reportó el problema,
«…la falla implica que las claves pueden ser robadas sin que su dueño se de cuenta de eso.»
En el corto plazo, una solución fácil es deshabilitar la opción «Remember passwords for sites» («Recordar claves de los sitios«) del menú Preferencias del browser.