Firefox-gebruikers zonder Java hoeven zich geen zorgen te maken dat aanvallers via de BEAST SSL-aanval hun versleutelde sessies kapen. Afgelopen vrijdag demonstreerden twee onderzoekers hoe ze via een man-in-the-middle aanval een probleem in TLS 1.0 kunnen misbruiken. Door het injecteren van code en het gebruik van een netwerksniffer kan men het versleutelde cookie ontsleutelen en zo de HTTPS-sessie kapen. Om de aanval te automatiseren ontwikkelden onderzoekers Juliano Rizzo en Thai Duong de BEAST (Browser Exploit Against SSL/TLS) tool.

Uitschakelen
Mozilla laat nu in een reactie weten dat Firefox niet kwetsbaar voor de aanval is. Hoewel Firefox TLS 1.0 gebruikt, moet een aanvaller volledige controle over de inhoud van de verbindingen vanuit de browser hebben, iets wat Firefox niet toestaat.

De onderzoekers ontdekten ook een kwetsbaarheid in Java-plugins, waardoor de aanval ook op Firefox mogelijk is. "We adviseren dat gebruikers Java uit voorzorg via de Firefox Add-ons Manager uitschakelen." Op dit moment kijkt Mozilla naar de haalbaarheid om Java universeel in Firefox installaties uit te schakelen.