Firefox 2.0 może paść ofiarą ataku Reverse Cross-Site Request, który - w skrócie - polega na przekonaniu przeglądarki połączonej z serwerem złodzieja, że łączy się z serwerem np. "ebay.pl". A jeśli tak, to powinna wypełnić odpowiednie pola w formularzach naszymi hasłami zapamiętanymi przez przeglądarkę dla serwisu "ebay.pl". Co gorsza, użytkownik może się wcale nie dowiedzieć że jego hasła zostały gdziekolwiek wpisane - w udostępnionej przez firmę CIS (która opisała dziurę) demonstracji wystarczy kliknąć na plugin z filmem, by hasła zostały wysłane w zapytaniu GET do dowolnego serwera (w demonstracji do Google - warto przyjrzeć się dokładnie URL w pasku adresu).

Autorzy Firefoksa potwierdzili obecność dziury (360493) i zapowiedzieli ekspresowe wypuszczenie poprawionej wersji 2.0.0.1 lub 2.0.0.2. Błąd nie występuje w przeglądarce Microsoft Internet Explorer. Zajmująca się badaniami serwerów WWW firma Netcraft poinformowała, że ataki tego typu stwierdzono już pod koniec października i były one skierowane przeciwko użytkownikom serwisu MySpace.

Zobacz również:

• FBI ostrzega - masowy atak phishingowy w USA#

Tymczasowe rozwiązania to niekorzystanie z zapamiętywania haseł (zwłaszcza, jeśli mamy tę funkcję zabezpieczone hasłem głównym) lub zainstalowanie dodatkowych pluginów takich jak Master Password Timeout, które umożliwiają przynajmniej każdorazowe potwierdzenie wydania haseł.