なんかみんな言っている事が違うので、英語に難儀しつつも、JVNに出ていた参考情報をちゃんと読んでみました. おかげで出遅れましたが...
MD5 の性能が本弱点の原因の一つですが、それだけが原因ではなくて、APOP の MD5 の使い方も原因です. なので、HMAC-MD5 はあまり問題ないかと思われます. そんな感じで、MD5 を使っているのは全部もう駄目だーというわけではなく、それぞれの利用方式によって判断する必要があると思われます.
それとはまた別の問題として、ターゲットにばれないように APOP 認証を多数送信させないといけません. それは結構難しいんじゃないかと思います. とはいえ、うまく中間者として入り込めれば、たかだか「2^(8-1) * 文字数」の回数を最大期待値としてパスワードが奪取できてしまうわけで、脆弱性という表現自体は正しいと思います.
ただ、タイムスタンプ文字列は通常 ASCII 文字列なので、ASCII 文字列で無ければこの脆弱性への攻撃だとほぼ判断できます. MUA 側が対策すれば、それほど危険ではないでしょう. ただし、ASCII 文字列のみで効率的に MD5 の衝突を引き起こす方式が見つかった場合はその限りではありません :-)