近期，Mozilla修复了Firefox浏览器中的一个密码管理漏洞，攻击者可利用该漏洞非法获取存储在浏览器中其他网站的登录密码。

在最新的浏览器版本Mozilla Firefox 68.0.2中，该漏洞已被修复。由于Firefox浏览器中Firefox Password Manager功能的“主密码”可被轻易绕过，导致他人可在未经身份验证的情况下获取浏览器中存储的密码。

根据Mozilla发布的公告，在已设置主密码的情况下，如果想访问已保存的用户登录其他网站的凭证，就必须先验证主密码。但是，研究人员发现，当攻击者选定登录信息，右击，选择“复制密码”，即可把密码复制到剪贴板，虽然有主密码输入提示，但无需输入主密码，导致该权限验证成为摆设。

该漏洞被跟踪为CVE-2019-11733，漏洞等级为“中等”。

在正常情况下，设置主密码后，必须提供主密码才能从“已保存的登录”菜单访问已保存的登录凭据。用户也可以通过点击“显示密码”按钮，输入主密码来查看已存储的密码。

最新版本已解决了这一漏洞，在已设置了主密码的情况下，不提供主密码就无法使用“复制密码”功能。

Naked Security作者Paul Ducklin还指出，Firefox的密码管理器还有另一个重要缺陷，就是默认不需要主密码。

Ducklin在发表的一篇文章中写道：“顺便说一句，即使没有主密码安全问题，Firefox的密码管理器也存在安全争议。密码管理器在默认情况下都是启用的，但默认没有主密码。如果不进行额外的主密码设置，任何人都可直接看到已存储密码；而一旦进行设置，这个漏洞又直接导致主密码失效。总而言之，全世界Firefox浏览器存储的密码都处于不安全的状态。”

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场：https://nosec.org/home/detail/2875.html
来源：https://securityaffairs.co/wordpress/89938/hacking/firefox-master-password-bug.html