Die Sicherheitsspezialisten von Secunia warnen vor zwei Lücken in Firefox und Mozilla, die eine Spoofing-Attacke erlauben. Beide Lücken betreffen die "Tabbed Browsing"-Funktionalität der Browser.
Hier klicken!
Durch die erste Lücke können inaktive Tab-Browserfenster einen Dialog öffnen, so dass beim Anwender der Eindruck entsteht, dass das betreffende Eingabefeld durch das gerade aktive Tab-Browserfenster geöffnet wurde.
Lücken-Demo: Nicht das aktive Fenster (rechts), sondern das inaktive Fenster (links) verlangt die Eingabe.
Angreifer könnte die Lücke beispielsweise dazu nutzen, um ihre Website so zu präparieren, dass sie von dem Anwender die Eingabe eines Passworts verlangen. Diese denken, sie würden sich auf einer vertrauenswürdigen Website befinden, in Wirklichkeit wird das Passwort aber von dem Angreifer abgegriffen.
Eine Demonstration dieser Lücke finden Sie auf dieser Seite . Zum Ausprobieren dieser Seite mit Firefox/Mozilla öffnen Sie den unter Punkt 1 angezeigten Link auf dieser Seite in einem neuen Tab (zum Beispiel über das Kontextmenü "Open Link in New Tab").
Durch die zweite Lücke erhalten inaktive Tabs den Fokus durch Eingabefelder auf einer Seite in einem anderen, aktiven Tab. Es öffnet sich zwar die neue Seite, aber alle Eingaben auf dieser neu geöffneten Seite werden in der Seite im inaktiven Tab übernommen. Auch diese Lücke könnten Angreifer zum Abgreifen von Dateneingaben des Anwenders nutzen. Eine Demonstration dieser Lücke finden Sie auf dieser Seite .
Beide Lücken sind getestet und bestätigt für Mozilla 1.7.2, 1.7.3 und die aktuelle Firefox-Version 0.10.0 (Firefox 1.0 PR). Andere Versionen könnten, so Secunia, allerdings ebenfalls betroffen sein.
Patches, die die Lücke schließen, liegen derzeit seitens Mozilla.org nicht vor. Das Risiko durch die Lücken wird von Secunia als "weniger kritisch" eingestuft. Die Empfehlung: Während sie auf einer vertrauenswürdigen Seite surfen, sollten sie nicht in einem anderen Tab eine nicht-vertrauenswürdige Seite öffnen. Alternativ wird das Abschalten von Javascript empfohlen.
Mozilla.org wurde von Secunia vor knapp zwei Wochen über diese beiden Lücken informiert und hat auch zwischenzeitlich reagiert. Im aktuellen Programmcode von Firefox wurde zumindest die zweite Lücke bereits geschlossen. In der kommenden Version von Firefox 1.0, dem Release Canditate, wird damit diese Lücke nicht mehr zuschlagen können.
Quelle: http://www.pcwelt.de/news/sicherheit/104089/index.html
Hier klicken!
Durch die erste Lücke können inaktive Tab-Browserfenster einen Dialog öffnen, so dass beim Anwender der Eindruck entsteht, dass das betreffende Eingabefeld durch das gerade aktive Tab-Browserfenster geöffnet wurde.
Lücken-Demo: Nicht das aktive Fenster (rechts), sondern das inaktive Fenster (links) verlangt die Eingabe.
Angreifer könnte die Lücke beispielsweise dazu nutzen, um ihre Website so zu präparieren, dass sie von dem Anwender die Eingabe eines Passworts verlangen. Diese denken, sie würden sich auf einer vertrauenswürdigen Website befinden, in Wirklichkeit wird das Passwort aber von dem Angreifer abgegriffen.
Eine Demonstration dieser Lücke finden Sie auf dieser Seite . Zum Ausprobieren dieser Seite mit Firefox/Mozilla öffnen Sie den unter Punkt 1 angezeigten Link auf dieser Seite in einem neuen Tab (zum Beispiel über das Kontextmenü "Open Link in New Tab").
Durch die zweite Lücke erhalten inaktive Tabs den Fokus durch Eingabefelder auf einer Seite in einem anderen, aktiven Tab. Es öffnet sich zwar die neue Seite, aber alle Eingaben auf dieser neu geöffneten Seite werden in der Seite im inaktiven Tab übernommen. Auch diese Lücke könnten Angreifer zum Abgreifen von Dateneingaben des Anwenders nutzen. Eine Demonstration dieser Lücke finden Sie auf dieser Seite .
Beide Lücken sind getestet und bestätigt für Mozilla 1.7.2, 1.7.3 und die aktuelle Firefox-Version 0.10.0 (Firefox 1.0 PR). Andere Versionen könnten, so Secunia, allerdings ebenfalls betroffen sein.
Patches, die die Lücke schließen, liegen derzeit seitens Mozilla.org nicht vor. Das Risiko durch die Lücken wird von Secunia als "weniger kritisch" eingestuft. Die Empfehlung: Während sie auf einer vertrauenswürdigen Seite surfen, sollten sie nicht in einem anderen Tab eine nicht-vertrauenswürdige Seite öffnen. Alternativ wird das Abschalten von Javascript empfohlen.
Mozilla.org wurde von Secunia vor knapp zwei Wochen über diese beiden Lücken informiert und hat auch zwischenzeitlich reagiert. Im aktuellen Programmcode von Firefox wurde zumindest die zweite Lücke bereits geschlossen. In der kommenden Version von Firefox 1.0, dem Release Canditate, wird damit diese Lücke nicht mehr zuschlagen können.
Quelle: http://www.pcwelt.de/news/sicherheit/104089/index.html