Der Sicherheitsexperte Soroush Dalili hat einen Fehler in Firefox nachgewiesen, die Angreifer ausnutzen können, um vertrauliche Informationen zu stehlen. Der Fehler liegt in der "window.onerror"-Funktion, der es ermöglicht, die Ziel-URL einzusehen, wenn der Nutzer auf eine andere Webseite weitergeleitet wird. Die Methode, bei der die Zieladresse "entführt" wird, nennt sich Cross-Site-URL-Hijacking. Die entführte Webseite kann Informationen über den Nutzer enthalten, die Fremden verborgen bleiben sollten. Dalili beschreibt in seinem Bericht über die Sicherheitslücke(als PDF
hier erhältlich), wie sich auf diesem Weg beispielsweise die Profil-ID eines Google-Accounts oder die Facebook-ID eines Nutzers herausfinden lassen. Der Forscher hat den Fehler in der aktuellen Firefox-Version 3.6.3 und in Firefox 3.5.9 nachgewiesen. Andere Versionen können ebenfalls betroffen sein. Die Fachleute von
Secunia stufen die Lücke als weniger kritisch ein, raten aber dennoch zur Vorsicht beim Surfen: Nicht vertrauenswürdige Webseiten sollten gemieden werden.