Az interneten már több helyen aktívan kihasználják a Firefox azon a napokban közismertté vált hibáját, amely illetéktelenek számára is lehetővé teszi, hogy a felhasználók titkos jelszavait azok tudta és hozzájárulása nélkül begyűjtsék. A nyílt forrású böngészőben felfedezett hibára egyelőre nincs javítás, és kihasználása ellen még a legóvatosabb webező sem tud igazán védekezni.
A biztonsági problémát a böngészőben annak beépített jelszókezelő bővítése keletkezteti, amely képes a felhasználó a különböző weboldalak meglátogatásakor megadott felhasználóveit és jelszavait megjegyezni, majd az oldalak ismételt felkeresésekor - az újbóli bejelentkezést megkönnyítendő - a szóban forgó azonosítók megadására szolgáló mezőket automatikusan ki is tölti. Sajnos azonban a jelszókezelő nem ellenőrzi, hogy az automatikusan feltöltött mezők vajon ténylegesen az oldalt kiszolgáló szerver részére kerülnek -e elküldésre, hanem a felhasználónév és jelszó automatikus megadását olyan űrlapok esetén is elvégzi, amelyek valójában ezeket az adatokat egy másik, feltehetően csalók által létrehozott weblapra továbbítja.
A hiba súlyosságát növeli, hogy az érzékeny adatok a böngésző általi automatikus megadásáról és elküldéséről a felhasználó még akkor sem feltétlenül tud tudomást szerezni, ha egyébként rendkívüli körültekintéssel jár el, a kevésbé tapasztlatabb felhasználókat pedig gyakorlatilag 100%-os biztonsággal tudják a hibát kihasználó csalók kijátszani. A sebezhetőség kihasználására utóbbiaknak minden olyan kiszolgálón lehetőségük adódik, ahol saját weblapokat tölthetnek fel vagy legalábbis tetszőleges HTML kódot helyezhetnek el pl. üzeneteikben, hozzászólásaikban.
A sérülékenység részben más böngészők felhasználóit is érintheti, igazán komoly fenyegetést azonban csakis azon szoftverek esetében jelent, amelyek nem csak, hogy megjegyzik, de - a Firefox-hoz hasonlóan - az oldalak ismételt meglátogatásakor automatikusan ki is töltik a bejelentkezési azonosítók, vagy más, érzékeny információk megadására szolgáló beviteli mezőket. Ugyanakkor a felhasználóknak egyéb esetekben is érdemes odafigyelniük arra, hogy jelszavaikat csakis a megbízott oldal szerves részét képező, és nem az annak esetleg rosszindulatú látógatói által szabadon módosítható részeiben elhelyezett űrlapjain adják meg.
A sebezhetőség részleteiről további információkat az érdeklődők a Bugzilla adatbázisban, illetve a problémáról időközben megjelent elemzésben olvashatnak. A hibát a Mozilla ugyan a legsúlyosabb szintűként sorolta be adatbázisában, azt azonban egyelőre nem lehet tudni, hogy javítás vajon mikor érkezik a hibára.
