Firefox密码管理器现漏洞，现已修补！

Mozilla为Firefox发布的最新更新修补了一个漏洞，该漏洞可被利用来绕过内置密码管理器的主密码并获取存储的密码。

该漏洞被归类为“中度影响”并被追踪为CVE-2019-11733，随着Firefox 68.0.2的发布，该漏洞已于周三被修补。

用户可以为Firefox内置的密码管理器设置主密码，以确保未经授权的用户无法访问保存的登录信息。当用户访问保存的登录菜单时，用户必须按“显示密码”按钮才能看到密码，如果已设置密码，则必须输入主密码。

但是，Mozilla了解到用户只需右键单击某个条目并选择“复制密码”，密码就会被复制到剪贴板而无需输入主密码。

最新的Firefox更新解决了该问题，如果用户使用“复制密码”选项，则会提示用户输入主密码。

Sophos的Paul Ducklin在一篇博文中表示，“Mozilla将此修复程序评为“适度” - 毕竟，它不会让任何人随时随地提取网页密码 - 但如果您是Firefox用户，则值得检查您是否是最新的版本。”

Ducklin突出显示的另一个问题是Firefox中默认启用了密码管理器，但默认情况下用户不需要设置主密码。

专家表示，“换句话说，默认的Firefox设置基本上都会受到本文中描述的错误的影响，因为默认情况下没有使用主密码，因此您永远不需要输入密码。”

文章翻译自：Security Week