El popular buscador web de Mozilla presenta un fallo de seguridad en su administrador de contraseñas, que puede permitir a un habilidoso atacante, mediante el uso de XSS (Cross-Site-Scripting), hacerse con el password de una cuenta con relativa facilidad.

El hueco de seguridad radica, en que el administrador de passwords de Firefox, no realiza una validación adecuada del formulario desde el cual se guardan las claves. Por lo cual, si a la página web donde se encuentra el formulario de logeo, se le hace un XSS, se puede agregar al formulario otro campo escondido, del mismo tipo de los usados para guardar contraseñas; y de esta manera, cuando se accede a ella, el mismo Firefox rellena la información de la contraseña en el campo real del password, y también en el campo escondido que ha adicionado el atacante informático.

Así, un atacante informático puede hacerse con la clave maestra de Mozilla Firefox, para administrar claves y poder tener acceso ilimitado al sistema, mediante la utilización de un pequeño código de JavaScript. Este tipo de técnica es efectiva, y quizás pueda funcionar con alguna variante en otros navegadores como Chrome o Safari. Recordemos que en el año 2006, se presentó un fallo similar en el navegador de Mozilla, y en aquella ocasión se creó un parche, que al parecer no funcionó muy bien, ya que el navegador, aún presenta el bache de seguridad.

Comparte esta nota, y ayuda a difundirla