Nicht schließbare Phishing Pop-Ups

    Seit einigen Wochen stoße ich immer häufiger auf nicht schließbare Phishing Seiten, die sich als Firefox Update Seite tarnen.

    Sämtliche Bedienelemente werden durch die Website nicht anklickbar gemacht - vermutlich durch die Bestätigungsfenster.
    Wenn man ein Bestätigungsfenster schließt, wird direkt wieder ein neues geöffnet.

    Lediglich über den Taskmanager kann man dem Treiben ein Ende setzen.


    Anfangs habe ich noch versucht das ganze über die Blacklist zu unterbinden, allerdings scheinen regelmäßig neue Domains mit diesem Inhalt erstellt zu werden und auch ein Add-Blocker scheint nicht zu helfen.


    Hier mal ein paar Screenshots von einer der Seiten:
    https://imgur.com/lLBOKgP
    https://imgur.com/SICKPAY
    https://imgur.com/34yPqZL
    https://imgur.com/pU8TbIe

    Wer sich auskennt und mal ein wenig mit der Seite herumexperimentieren will, kann die Adresse aus den Screenshots abtippen (die wollte ich hier lieber nicht im Klartext veröffentlichen).

    Das Problem scheint nicht durch Malware verursacht zu werden, da die Pop-Ups auch auf einem neu aufgesetzten und geschützten System (und nur beim Surfen auf "dubiosen" Seiten) auftreten. Virenscans verliefen soweit auch Ergebnislos.
    Es wird wohl irgendeine Schwachstelle ausgenutzt, die es ermöglicht durch Benachrichtigungsfenster das schließen der Seite komplett zu unterbinden.

    Zitat von camel-joe


    Traurig daran ist nur, dass Mozilla diesen Fehler nicht schon in 57.x behebt.


    Das wundert mich auch. Andererseits gab und gibt es schon schlimmere Bugs. Bei Meltdown und Spectre war Mozilla sehr schnell. Ich kann mir gut vorstellen, dass dadurch einige Ressourcen gebunden waren.

    Und da wir das Thema Sandbox heute schon hatten ...

    Wenn du den Firefox in einer Sandbox betreibst und diese so konfigurierst, dass es gar keine schreibenden Zugriffen nach außerhalb mehr gibt, dann können dir dieser bug und auch einige schlimmere egal sein. Sie können den Firefox noch für den Moment lahmlegen, aber Änderung an deinem Rechner, dem Windows oder dem Firefox können solche Webseiten dann nicht mehr vornehmen.

    Zitat von camel-joe


    Traurig daran ist nur, dass Mozilla diesen Fehler nicht schon in 57.x behebt.

    a) welcher Fehler?
    b) mit welcher Begründung sollte das in Firefox 57 gelöst sein?

    Das neue Verhalten ab Firefox 58 ist eine Verbesserung, aber keine Fehlerbehebung und qualifiziert damit nicht für ein außerplanmäßiges Update. Die grundsätzliche Problematik ist außerdem seit Jahren vorhanden und damit keine Regression, was ein zweites Ausschlusskriterium für ein außerplanmäßiges Update darstellt. Drittens qualifiziert zu diesem späten Zeitpunkt (zwei Wochen vor dem nächsten Major-Release!) sowieso nichts mehr für außerplanmäßige Updates - außer dringende Sicherheits-Fixes.

    Änderungen dieser Art gehen aus Qualitäts- und Risiko-Gründen immer den gewöhnlichen Entwicklungs-Zyklus mit. Es stand daher nach Erstellung des entsprechenden Patches auch zu keinem Zeitpunkt jemals zur Debatte, dass das noch in Firefox 57 ausgeliefert werden könnte.

    Und das ist auch gut so, dass Mozilla seinen Standard zur Qualitätssicherung nicht willkürlich aufgibt. Wenn es nicht rechtzeitig einen Patch für Firefox 57 gab, dann ist eine Lösung in Firefox 57 nun einmal nicht möglich. Gerade solche Änderungen müssen nun einmal sehr gut getestet sein, weil es ein nicht unerhebliches Risiko für Regressionen gibt. Würde sich Mozilla anders verhalten, hätten wir mit jedem Release eine höhere Anzahl unnötiger Fehler. Das ist mal sicher.

    Zitat von Casali

    Bei Meltdown und Spectre war Mozilla sehr schnell. Ich kann mir gut vorstellen, dass dadurch einige Ressourcen gebunden waren. Wenn du den Firefox in einer Sandbox betreibst ...


    Aber bei Meltdown und Spectre behebt Mozilla (allein) nicht das Problem. Und fehlende Ressourcen werden es nicht sein, da Meltdown und Spectre aktuell sind, das andere Problem aber ist alt. Der normale Anwender will auch keine Sandbox verwenden.

    Zitat von Sören Hentzschel


    a) welcher Fehler?
    b) mit welcher Begründung sollte das in Firefox 57 gelöst sein?

    a + b = c
    c = Nun, wenn doch Mozilla so auf unsere Sicherheit schaut, man nehme den Wegfall der alten Erweiterungen als Alibi, dann hätte man in so einem Fall schon lange Abhilfe schaffen müssen.

    Und nicht erst in Version 58, denn Du schreibst es ja selber:

    ".. die grundsätzliche Problematik ist außerdem seit Jahren vorhanden..." :wink:

    8) Gruß camel-joe

    Festes Profil: Gerade nicht vorhanden
    Portable: Die aktuelle ESR / Nightly

    Zitat von camel-joe


    Aber bei Meltdown und Spectre behebt Mozilla (allein) nicht das Problem.


    Na und? Was hat da damit zu tun, dass Mozilla wirklich sehr rasch einen Patch veröffentlicht hat? Willst du sagen, das wäre nur eine Kleinigkeit gewesen? Kann sein, kann nicht sein. Ich glaube nicht, dass du das beurteilen kannst.

    Zitat von camel-joe


    Und fehlende Ressourcen werden es nicht sein, da Meltdown und Spectre aktuell sind, das andere Problem aber ist alt.


    Ich habe keine Ahnung, wie viele Entwickler bei Mozilla seit wann an dem Patch gearbeitet haben. Das ganze Thema wurde ja schließlich von allen Herstellern aus gutem Grund zunächst geheim gehalten.

    Weshalb das Verhalten bzgl. der Pop-Ups erst in der nächsten Version behoben wird, hat Sören ja inzwischen erläutert. Und dass diese Verbesserung im Vergleich zu Meltdown und Spectre geradezu vernachlässigbar sind, sollte jedem einleuchten.

    Zitat von camel-joe


    Der normale Anwender will auch keine Sandbox verwenden.


    Dann kenne ich sehr viele unnormale Anwender, mich eingeschlossen. Ganze Schulklassen sogar am hiesigen Gymnasium - alle nicht normal. Na wenn du das sagst.

    Zitat von camel-joe

    c = Nun, wenn doch Mozilla so auf unsere Sicherheit schaut, man nehme den Wegfall der alten Erweiterungen als Alibi, dann hätte man in so einem Fall schon lange Abhilfe schaffen müssen.

    Ich weiß nicht, was der Wegfall von Legecy-Erweiterungen damit zu tun hat, aber zur Klarstellung: da ging es um sehr viel mehr als Sicherheit. Da ging es um eine grundlegende Veränderung der gesamten Architektur, was sich auf zahlreiche Bereiche ausgewirkt hat und das komplette Produkt beeinflusst. Das ist überhaupt kein Vergleich.

    Und das, worum es hier geht, hat mit Sicherheit auch nicht viel zu tun. Hier geht es "nur" um ein nerviges Verhalten. Mit Sicherheit kannst du hier also nicht argumentieren.

    Zitat von camel-joe

    Und nicht erst in Version 58, denn Du schreibst es ja selber:

    ".. die grundsätzliche Problematik ist außerdem seit Jahren vorhanden..." :wink:

    Fakt ist, dass es vorher keinen Patch gegen die Problematik gab und das ist das einzige, was zählt. Ohne Patch keine Veränderung in Firefox, so einfach ist das. Als der Patch verfügbar war, war der Zug für Firefox 57 bereits abgefahren. Und da das Problem dazu grundsätzlich schon vor Jahren vorhanden war, kommt es auf ein paar Wochen mehr oder weniger auch nicht an.

    Dass es nun in Firefox 58 eine Lösung gibt, hängt sicherlich auch damit zusammen, dass es in den letzten Wochen offensichtlich einen starken Anstieg gab (was sich ja auch an den Beiträgen in diesem Forum ableiten lässt). Dadurch ist es dann wohl auf das Radar von jemandem gelangt, der das Problem beheben konnte.

    Es gibt grundsätzlich zahlreiche Möglichkeiten, Nutzer zu nerven. Und es wird immer neue Möglichkeiten geben, weil die "Bösen" ja auch nicht schlafen. Es war immer und wird immer ein Katz- und Maus-Spiel sein. Selbst wenn Mozilla die Ressourcen hätte, jede erdenkliche Möglichkeit einzudämmen, etwas Schlechtes zu tun (und dafür wäre noch sehr viel zu tun!), dann wird hinterher auch wieder jemandem etwas Neues einfallen.

    Zitat von camel-joe


    Traurig daran ist nur, dass Mozilla diesen Fehler nicht schon in 57.x behebt.


    Es ist doch kein Fehler in Firefox. Der/Die Verursacher kommt/kommen von außen. Mozilla kann lediglich so schnell wie möglich reagieren, um solche Angriffe abzuwehren. Das braucht seine Zeit.

    Und: Was sagst du denn zu den Benutzern, die lieber weiter Fx 56 oder gar eine noch ältere Version verwenden, damit sie irgendwelche Add-ons alten Typs weiter nutzen können? Für die ist Sicherheit sekundär und es nützt ihnen gar nichts, wenn Mozilla den Patch schon in Fx 57 hätte aktivieren können. Die können dann auch noch nach dem Erscheinen von Fx 58 dieses Problem haben.

    Übersetzer für Obersorbisch und Niedersorbisch auf pontoon.mozilla.org u.a. für Firefox, Firefox für Android, Firefox für iOS, Firefox Klar/Focus für iOS und Android, Thunderbird, Pootle, Django, LibreOffice, LibreOffice Onlinehilfe, WordPress