Neues Sicherheitsleck gefährdet Webbrowser

  • Meldung vom 09.12.2004

    Die Sicherheitsfirma Secunia warnt vor einer Schwachstelle, über die Betrüger Anwendern gefälschte Webseiteninhalte unterschieben können. Betroffen sind alle bekannten Webbrowser.
    Laut der dänischen Sicherheitsfirma Secunia weisen verschiedene Versionen von Internet Explorer, Mozilla, Firefox, Opera, Safari und Konqueror eine Lücke auf, die sich für Betrügereien missbrauchen lässt. Angreifer können in eine fremde Website beliebigen Inhalt schreiben. Sie müssen dazu nur den Namen des Fensters kennen. Secunia hat auf seiner Website eine Demo veröffentlicht. Sie füllt ein Pop-Up-Fenster der Citibank-Website mit Inhalt von Secunia. Eine richtige Schutzmöglichkeit gibt es bislang keine. Secunia empfiehlt, während dem Besuch von kritischen Websites (z.B. für Online-Banking) keine unvertrauenswürdigen Seiten aufzurufen. (sz)

  • wat funzt da? nix funzt! Firefox passiert nichts, und mit IE:

    Sie sind verwundbar...
    Hier könnten wir beliebige Inhalte einfügen. Geschickte Angreifer halten diese im Look&Feel der Original-Seite und fragen zum Beispiel vertrauliche Daten ab. Alle in diesem Fenster übermittelten Daten landen auf dem Server des Angreifers.

    Nabend 8)

    EDIT; bescheuerter test, echt, ich hab nun 2x2 probiert (IE/FF, mit/ohne popup blocker) bin unter FF ohne popupblocker nicht verwundbar, mit wohl,

    "Krieg ist ein zu ernstes Geschäft, als daß man ihn den Generälen überlassen dürfte." Georges B. Clemenceau (1841-1929), Französischer Journalist und Politiker/Ministerpäsident

  • Naja, von richtiger Sicherheitslücke würde ich in diesem Zusammenhang nicht sprechen. Das Problem ist, dass standardmäßig bei soclchen PopUps die Adress-Leiste nicht angezeigt wird.

    Unterdrückt man diesen Mechanismus (siehe unten), dann erkennt man sofort, dass man nicht auf der richtigen Seite ist.

    Es wäre also überlegenswert, ob nicht standardmäßig die Adress-Leiste immer angezeigt werden soll, auch in PopUp-Fenstern. Wenn dem so ist, dann sitzt die Sicherheitslücke vor dem PC sitzen.

    Ich sehe aber immer, auf welcher Seite ich bin. Ich habe in der user.js einfach folgendes eingetragen:
    // Immer die Navigations-Symbolleiste anzeigen:
    user_pref("dom.disable_window_open_feature.location", true);

    Mit dieser Einstellung sehe ich im PopUp-Fenster als Adresse: http://secunia.com/resultpage/. Ergo ist mit klar, ich bin nicht mehr auf der Citibank-Seite bin, und weiss, dass etwas faul ist.

    EDIT/
    Ich habe diesen Test noch einmal mit abgeschaltenen PopUp blocker getestet. Dann sieht es aus, also ob eine Seite von Citibank geöffnet wird.

    Ergo PopUp-Blocker in Kompination mit diesem Eintrag in die user.js sollte eigentlich sicher sein.