Eine Schwachstelle in Firefox lässt sich für Cross-Site-Scripting-Attacken ausnutzen, durch die ein Angreifer etwa Anmeldeinformationen eines Opfers auf Webseiten wie MySpace und ähnlichen Angeboten abgreifen kann. Das Problem ist zwar bereits seit Anfang dieses Jahres bei den Firefox-Entwicklern bekannt und auch in einem Bugzilla-Eintrag dokumentiert, bislang hat man aber noch keine Änderung in Firefox vorgenommen, um es aus der Welt zu schaffen. Der Sicherheitsspezialist Petko Petkof ist nun offenbar abermals über den Fehler gestolpert und hat ihn in seinem Blog veröffentlicht, sodass nun bereits das US-CERT einen Fehlerbericht dazu herausgegeben hat.
AnzeigeDie Schwachstelle beruht auf der Implementierung des von Sun spezifizierten jar-Protokolls, mit dem der Zugriff auf einzelne Dateien innerhalb eines Java-Archivs von einer Webseite möglich ist:
jar:http://www.foo.com/bar/baz.jar!/COM/foo/Quux.class
Dabei beschreibt http://www.foo.com/bar/baz.jar den Weg zum Archiv und !/COM/foo/Quux.class den Pfad zur Datei.Da es sich bei dem Archiv nur um eine ZIP-Datei handelt und das Protokoll nicht nur auf Java-Dateien beschränkt ist, lassen sich auch andere Dateien auf diese Weise aufrufen:
jar:https://example.com/test.jar!/t.htm.
Dabei wird t.htm im Browser im Kontext von example.com dargestellt, was an sich nicht schlimm wäre, da das Dokument ja auch von dort stammt. Unglücklicherweise lassen sich damit aber etwa wie auf MySpace betriebene JavaScript-Filter austricksen, da diese nur die Inhalte der Seiten prüfen, nicht jedoch hochgeladene Dateien und Archive. Zudem funktioniert es ebenfalls, wenn man etwa test.zip in test.png umbenennt, um der Datei den Anschein eines Bildes zu geben. Der Trick funktioniert auch mit anderen Formaten, die im Wesentlichen nur ein komprimiertes Archiv darstellen, beispielsweise das Doc-Format unter OpenOffice.Angreifer könnten mit einer präparierten URL etwa Eingaben auf anderen Seiten auslesen. Für einen erfolgreichen Angriff muss ein Phisher aber eine präparierte komprimierte Datei auf einem Server hinterlegen und sein Opfer dazu bringen, einen Link dorthin anzuklicken. Allerdings bleibt der mehr oder minder kryptische Link in der Adresszeile des Browser bei einem Angriff stehen.
Grundsätzlich hilft es, wie auch gegen die meisten anderen Cross-Site-Scripting-Angriffe, das Firefox-Modul NoScript einzusetzen. Darüber hinaus empfiehlt das US-CERT Administratoren von Unternehmensnetzen, jar-URIs am Proxy oder der Firewall zu blockieren. Zudem können Betreiber von Webservern den Missbrauch ihrer Seiten verhindern, indem sie mit einem Reverse-Proxy URLs mit jar blockieren. Auch das Filtern der MIME-Typen, um die wirklich übertragenen Inhalte zu erkennen, soll helfen.
Cross-Site-Scripting-Lücke
-
foxifire -
9. November 2007 um 15:29 -
Erledigt
-
foxifire stellte dar:
Zitat[...]Eine Schwachstelle in Firefox lässt sich für Cross-Site-Scripting-Attacken ausnutzen, durch die ein Angreifer etwa Anmeldeinformationen eines Opfers auf Webseiten wie MySpace und ähnlichen Angeboten abgreifen kann.
Was somit definitiv genauso gut auch für jeden anderen Browser gelten müsste. Stichwort: Clientseitige CSS-Ausnutzung.
Solche manipulierten Frames, die als sog. Mosaik-Bestandteile einer ungesicherten Webseite per Scriptübertragungen zum Bestandteil einer vertrauenswürdigen Webseite werden können und somit innerhalb des Sicherheitskontextes so einer gesicherten Webseite zur Anwendung kommen können/dürfen - stellt meiner Ansicht nach schon definitiv kein Browser-Problem mehr dar, sondern eher ein Problem der interaktiven und integralen Internet-Entwicklung selber. (Sender-Empfänger-Prinzip und die damit verbundene Interpretation des Anwenders). Der FF nimmt meiner Ansicht nach damit bloss die Funktion eines "Mediums" ein.
Muss der Browser in seinen Funktionen daher weiter "reduziert" - oder müssen einige Anwender doch eher besser "informiert" werden?
Oliver
-
Zitat von foxifire
Quelle
Eine Schwachstelle in Firefox lässt sich für Cross-Site-Scripting-Attacken [...]
Less critical [1] gestuft und für M10 vorgemerkt [2] (Blocker 1.9+)![1] http://secunia.com/advisories/27605/
[2] https://bugzilla.mozilla.org/show_bug.cgi?id=369814