Mozilla gaat de browser Firefox voorzien van een beveiliging die cache-aanvallen via HTTP tegenhoudt. Kwaadwillenden kunnen dan geen misbruik meer maken van de Application Cache, een functie om websites sneller te laten laden en om offline te werken. Dit doet AppCache door informatie van een site op de pc van de gebruiker te bewaren.
AppAche controleert echter onvoldoende of de cache vernieuwd dient te worden. Een hacker kan deze tekortkoming uitbuiten en ervoor zorgen dat de browser de opgeslagen cache nooit vernieuwt.
Onveilige iframes
Mozilla illustreert deze kwetsbaarheid aan de hand van een gebruiker die van een openbaar wifi-netwerk gebruikmaakt. Stel dat de website die deze persoon via HTTP bezoekt (verborgen) iframes bevat met vervalste inhoud voor websites. De browser zal deze vervolgens cachen. De vervalste inhoud is zodanig ingesteld dat deze een lange levensduur heeft of niet verloopt. Hierbij worden vaak veelbezochte websites gebruikt, zoals zoekmachines of webmail. Wanneer de gebruiker vervolgens een van die websites bezoekt, dan krijgt hij de vervalste inhoud uit de browsercache te zien in plaats van de actuele inhoud. In de vervalste inhoud kunnen bijvoorbeeld scripts zitten, die vervolgens worden uitgevoerd in de browser.
Verboden toegang
De kwetsbaarheid kan zelfs risicovol zijn voor de oplettende internetgebruiker die alleen vanuit zijn eigen woning inlogt op websites, heeft Mozilla laten weten. Mozilla heeft aangekondigd dat HTTP-pagina’s vanaf testversies Firefox 60 geen toegang meer zullen hebben tot de AppCache. Dit zal ook het geval zijn in de standaardversie Firefox 62 die in augustus van dit jaar zal uitkomen.