Sicherheit des Firefoxes

  • Habe heute beim Stöbern im Internet bezüglich einer Desktop-Firewall folgendes gefunden:

    auf dieser Seite:

    http://lists.netsys.com/pipermail/full…uly/024372.html

    Ist das gefährlich?

    [Full-Disclosure] Mozilla Firefox Certificate Spoofing
    E.Kellinis E.Kellinis" <me@cipher.org.uk
    Sun, 25 Jul 2004 19:44:04 -0700

    * Previous message: [Full-Disclosure] Re: Msg reply
    * Next message: [Full-Disclosure] Cross Site Scripting (XSS) on Google, Altavista ,Excite.com,Yahoo etc
    * Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

    #########################################
    Application: Mozilla Firefox
    Vendors: http://www.mozilla.com
    Version: 0.9.1 / 0.9.2
    Platforms: Windows
    Bug: Certificate Spoofing (Phishing)
    Risk: High
    Exploitation: Remote with browser
    Date: 25 July 2004
    Author: Emmanouel Kellinis
    e-mail: me@cipher(dot)org(dot)uk
    web: http://www.cipher.org.uk
    List : BugTraq(SecurityFocus)/ Full-Disclosure
    #########################################


    =======
    Product
    =======
    A popular Web browser,good alternative of IE and
    "The web browser" for linux machines,
    used to view pages on the World Wide Web.

    ===
    Bug
    ===

    Firefox has caching problem, as a result of that someone can
    spoof a certificate of any website and use it as his/her own.
    The problem is exploited using onunload inside < body> and
    redirection using Http-equiv Refresh metatag,document.write()
    and document.close()

    First you direct the redirection metatag to the website
    of which you want to spoof the certificate, then inside
    the < body> tag you add onulnoad script so you can control
    the output inside the webpage with the spoofed certificate.

    After that you say to firefox, as soon as you unload this page
    close the stream, aparently the stream you close is
    the redirection website, you do that with
    document.close().

    Now you can write anything you want , you do that
    using document.write(). After writing the content of you choice
    you close the stream again , usually firefox wont display your content,
    although if you check the source code you see it , so the last thing
    is to refresh the new page (do that using window.location.reload()),
    after that you have your domain name in the url field , your content
    in the browser and the magic yellow Lock on the bottom left corner,
    if you pass your mouse over it you will see displayed the name of
    the website you spoofed the certificate, if you double click on it you
    will check full information of the certificate without any warning !

    You dont need to have SSL in your website ! it will work with
    http.

    Additional using this bug malicious websites can bypass content
    filtering using SSL properties.


    =====================
    Proof Of Concept Code
    =====================

    < HTML>
    < HEAD>
    < TITLE>Spoofer< /TITLE>
    < META HTTP-EQUIV="REFRESH" CONTENT="0;URL=https://www.example.com">
    < /HEAD>
    < BODY
    onunload="
    document.close();
    document.writeln('< body onload=document.close();break;>
    < h3>It is Great to Use example's Cert!');

    document.close();
    window.location.reload();
    ">
    < /body>


    =========================================================
    *PK:http://www.cipher.org.uk/files/pgp/ciph….public.key.txt
    =========================================================


    * Previous message: [Full-Disclosure] Re: Msg reply
    * Next message: [Full-Disclosure] Cross Site Scripting (XSS) on Google, Altavista ,Excite.com,Yahoo etc
    * Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]


    :roll:

  • Offensichtlich kann man (auch wenn ichs jetzt nicht rekonstruieren konnte) eine Adresse Spoofen, sprich faken.

    Dir vorgaukeln, du bist nach ebay.com weitergeleitet worden, bekommst aber in Wahrheit eine andere seite vorgesetzt. Dort könnte der *Hacker* jetzt ein Login-Formular anzeigen, dass aussieht wie das von ebay.com ... wenn du aber deine daten damit abschickst, dann könnte der Hacker die Daten sich zuschicken lassen, weil ist ja sein Formular.

    Wenn du dich also von unbekannten, evtl dubiosen Seiten zu einer anderen Seite schicken lässt, könnten die böses mit dir vorhaben. Aber wie gesagt. Genaueres kann ich auch nicht sagen. ich habs nicht rekonstruiert bekommen.

  • Das hört sich ja richtig gemein an. :(

    Ich hoffe, dass funktioniert nur mit Weiterleitung. Und nicht auch, wenn ich direkt Ebay, Homebanking usw. ins Adressfeld eingebe.

    Aber habe sowieso keine Ahnung was Hacker so alles möglich machen.
    Mir ist nur in Erinnerung, dass es sowas auch beim IE schon mal gab - oder noch gibt -?!

    Erstmal noch schönen Dank
    :wink:

  • Im Prinzip dürfte das die alt"bewährte" Phishing-Geschichte sein, für die dieselben Vorsichtsmaßnahmen wie immer gültig sind: Homepages mit Dateneingaben immer nur über die Bookmarks aufrufen, nicht über Links in irgendwelchen Mails die sich unter Umständen nicht richtig nachvollziehen lassen. Und vor allem nie Formulare verwenden die direkt in den Mails abgelegt sind.

    Gruß
    Rick

    Windows 7 • Windows XP • MacOS 10.14.2 • It's better to be hated for what you are than to be loved for what you're not.

  • Sagte ich doch : )

    Zitat von bugcatcher

    In den aktuellen Nightlys sind die Bugs offiziell schon behoben, man überlegt jetzt, ob man für Firefox0.9/Mozilla1.7 jetzt einen Patch bereitstellen soll, oder auf den nächsten Release warten soll.

  • Mein lieber Käferliebhaber ;)

    Ich wage mal eine Hervorhebung:

    Zitat von bugcatcher

    In den aktuellen Nightlys sind die Bugs offiziell schon behoben, man überlegt jetzt, ob man für Firefox0.9/Mozilla1.7 jetzt einen Patch bereitstellen soll, oder auf den nächsten Release warten soll.

    Und ich wollte lediglich darauf hinweisen daß es den Patch, an dem man vorher noch überlegt hat, jetzt auch gibt ;)

    Gruß
    Rick

    Windows 7 • Windows XP • MacOS 10.14.2 • It's better to be hated for what you are than to be loved for what you're not.

  • ...das war ein guter Tipp mit dem spoofstick! :D

    Schade dass er eine ganze Leiste Raum benötigt, aber Sicherheit geht vor!

    Besten Dank

    silvia

    "Gebildet ist, wer weiß, wo er findet, was er nicht weiß."

  • Zitat von silvia

    ...das war ein guter Tipp mit dem spoofstick! :D

    Schade dass er eine ganze Leiste Raum benötigt, aber Sicherheit geht vor!

    Besten Dank

    silvia

    Schliesse mich Silvia an. Wirklich guter Tipp.

    Ich benutze das Theme Little Firefox. Mit diesem Theme nehmen die Leisten inkl. Spoofstickleiste nicht mehr Platz weg als die Leisten ohne Spoofstick bei einem andern Theme.

    Screenshot

  • Gute Tips, aber dazu hätte ich noch einige Fragen:

    Gibt es jetzt (inzwischen) einen Patch oder nicht?
    In der Zeitung stand, es gäbe einen. Hab mal gesucht, aber kann nix finden.
    Anscheinend bin ich auch mal wieder zu blöd. Wenn ich dem Heise-Link folge, kann ich keinen Patch finden, auch nicht da wo "zur Verfügung" steht -mit der Seite kann ich absolut nichts anfangen.

    Dann nochwas: Dieses Spoof-Stick, kann man da echt sehen wenn man sich auf einer anderen Seite befindet, habt Ihr mal ein Beispiel dafür?
    Wenn ich z.B. auf http://www.kazaa.tk gehe, dann wird in SpoofStick auch nur http://www.kazaa.tk angezeigt und nicht die echte Zieladresse. Ich habe angenommen SpoffStick könnte das, aber vielleicht habe ich die Funktion dieser Erweiterung noch nicht genau verstanden.
    Gleiches auch mit "Tab im neuen Fenster duplizieren". Wenn ich aber das mal mit dem IE vergleiche, dort kommt die echte Zieladresse, wenn man auf "open Frame in new Window" geht. Daß das beim Firefox nixht so funktioniert, finde ich , ehrlich gesagt, nicht so prickelnd!
    Dem Spoofstick traue ich daher nicht so sehr und ein wenig nervt die extra-Zeile auch, trotz dem Theme Little Firefox. Ein Patch wäre mir daher schon lieber.
    Könnt Ihr dazu was zu meiner Beruhigung sagen? ;)

    Kann es sein, daß sich Spoofstick ein wenig mit Popup-Blocker beißt? Wenn man unten links die Anzahl der geblockten Popups angezeigt bekommt, dann überlappt sich das mit dem "fertig". Ist natürlich kein Weltuntergang ;) aber ich würde gerne wissen ob das normal, oder nur bei mir so ist.
    Spoofstick finde ich gut, aber an die Symbole muß man sich erstmal wieder gewöhnen :)

  • Roadrunner

    ...es geht nichts über Noia 2.0 lite - einfach nur schön :D

    7on9

    wenn ich richtig liege siehst du damit einfach ob der Url auch der
    tatsächliche ist und nicht eine Pseudowebsite dargestellt wird die mit der
    eigentlichen Website nichts gemein hat.

    Den Patch den du meinst ist wahscheindlich der für die 0.91 Version des FUX.

    ftp://ftp.mozilla.org/pub/mozilla.or…/shellblock.xpi


    silvia

    "Gebildet ist, wer weiß, wo er findet, was er nicht weiß."

  • @ silvia

    Das Theme Noia 2.0 lite sieht gut aus, und die Leisten inkl. Spoofstick nehmen auch nicht mehr Platz weg als bei meinem Theme Little Firefox (im gegensatz zum Theme Qute).

    Danke für den Hinweis auf Noia lite. Damit habe ich jetzt 2 Themen, die ich abwechselnd benutzen kann ohne dass die Leisten mehr Platz einnehmen als ich ihnen zugestehen will.

  • Road-Runner
    Kannst Auch Nautipolis nehmen...das ist auch sehr klein.

    7on9
    wenn ich im Fx den Frame, neu laden lasse, bekomme ich auch die orginale Adresse angezeigt. Übrigens braucht man nur auf einen Link zu zeigen und schon bekommt man unten die orginale Adresse angezeigt.

    Hinweis!!!
    Die Durchführung von meinen Tips ist freiwillig und obliegt dem Administrator oder Besitzer des Rechners.
    Für Fehler, Datenverlust oder Beschädigungen übernehme ich keinerlei Verantwortung!!!
    Kein Support per Mail oder PN!!!

  • heute unter http://www.golem.de/0407/32694.html

    Jeff Smith warnt vor neuen Trickbetrügereien mittels spezieller Webseiten

    Eine besonders perfide Methode um arglosen Firefox-Nutzern geheime Passwörter und Daten zu entlocken, zeigt ein aktuelles Advisory von Jeff Smith. Bei der von Smith exemplarisch vorgeführten Methode wird über eingeschleuste XUL-Daten der gesamte Browser samt Menü und Statusleisten in einem PopUp nachgebildet.
    ANZEIGE

    Was augenscheinlich wie die Menüs der Browsers wirkt, ist aber nur eine Täuschung, gleiches gilt auch für die URL- und Statuszeile. Hier angegebene URLs und auch die angeblich aktivierte SSL-Verschlüsselung sind nur Schein. Bemerkt ein Nutzer den gefälschten Browser im Browser-Fenster nicht - weil er nur die nachgebildete Standard-Oberfläche nutzt - und gibt beispielsweise seine Log-In-Daten ein, übergibt er sie nicht einem vertrauenswürdigen Geschäftspartner sondern einem Betrüger - die Falle ist dann zugeschnappt.

    Der als "Proof of Concept" veröffentlichte Exploit funktioniert in Firefox 0.9 und neueren Versionen. Möglich wird dies unter anderem dadurch, dass Firefox es per Standard-Einstellung erlaubt, die Status-Bar zu unterdrücken, so das diese durch eine gefälschte Version ersetzt werden kann. Selbst der Hinweis auf eine verschlüsselte Verbindung lässt sich so samt Zertifikats-Angaben fälschen.

    Als Lösung schlägt Smith vor, die Unterdrückung der Status-Zeile von Hause aus nicht zuzulassen. Auch Microsoft verfolge mit dem Service Pack 2 für Windows XP diesen Ansatz. Doch auch wenn dies der Fall wäre, so Smith, wäre die Täuschung sicherlich noch immer gut genug um unbedarfte Nutzer auszunehmen. Zumindest dann, wenn diese die Standard-Oberfläche nutzen, denn nur diese lässt sich sinnvoll nachbilden - die Browser-Konfiguration kann der Fälscher nicht einsehen und weiss deshalb nichts über Buttongrößen oder verwendete Themes. (ji)