Брешь затрагивала встроенный в Firefox менеджер паролей. Как удалось выяснить, с помощью этого бага злоумышленники могли взломать мастер-пароль и, соответственно, получить доступ ко всем сохраненным в веб-обозревателе паролям.
Несмотря на всю серьезность бага, его отнесли только к категории средней степени опасности, а в версии Firefox 68.0.2 уязвимость уже полностью устранили.
Мастер пароль считается самой надежной защитой для всех сохраненных в менеджере паролей. Такая схема используется как в самих браузерах, так и в специальных дополнениях, созданных для хранения, подбора и автоматического ввода паролей. Чтобы получить доступ к этому менеджеру обычно требуется ввести мастер пароль. Это единственный пароль, который необходимо составить и запомнить пользователю. Считается, что он обеспечивает дополнительную защиту и облегчает пользователям жизнь, избавляя от необходимости запоминать логины и пароли от каждого сайта, на котором приходится регистрироваться. Но как оказалось, в Firefox даже наличие мастер-пароля не гарантировало надежное хранение информации и не защищало от утечки данных.
Хакеры могли легко обойти этот мастер пароль. Для этого даже не требовалось никаких специальных знаний и навыков. Хакеру нужно было просто вызвать контекстное меню в браузере и выбрать пункт «копировать пароль». Таким образом, через буфер обмена можно получить все логины и пароль пользователей. В связи с этим Mozilla выпустила очередное обновление. После его установки копирование учетных данных будет возможно только после ввода мастер-пароля.
Чтобы не подвергать себя опасности, пользователям рекомендуется обновиться до последней актуальной версии Firefox.