Spoofing-Lücke in allen Browsern

Aktuelle Browser enthalten eine Lücke, über die Angreifer an Passwörter gelangen können. Das Sicherheitsunternehmen Secunia warnt vor der Lücke und stellt einen Test bereit.

Die JavaScript-Implementierung aktueller Browser enthält eine Sicherheitslücke. Das Problem ist, das JavaScript-Dialogboxen ihre Ursprungsseite meist nicht anzeigen. Über präparierte Seiten lässt sich so beispielsweise eine Passwortabfrage manipulieren. Die eingetragenen Daten landen dann direkt beim Angreifer.

Ohne Identität: Die Sicherheitslücke im aktuellen Netscape-Browser mit IE-Rendering-Engine. Die Dialogbox lässt völlig offen, welche Seite sie aufgerufen hat…
Ohne Identität: Die Sicherheitslücke im aktuellen Netscape-Browser mit IE-Rendering-Engine. Die Dialogbox lässt völlig offen, welche Seite sie aufgerufen hat…
… das gleiche Ergebnis zeigt sich, wenn man Opera dem Test unterzieht.
… das gleiche Ergebnis zeigt sich, wenn man Opera dem Test unterzieht.
 Mehr Auskunft: Der KDE-Browser Konquerer zeigt genau die Quelle der Dialogbox an. Durch die kleine Schriftart hilft das aber nur beim aufmerksamen Surfen.
Mehr Auskunft: Der KDE-Browser Konquerer zeigt genau die Quelle der Dialogbox an. Durch die kleine Schriftart hilft das aber nur beim aufmerksamen Surfen.
 Erklärend: Das Diagramm erklärt die Funktionsweise der Sicherheitslücke. (Quelle:Secunia)
Erklärend: Das Diagramm erklärt die Funktionsweise der Sicherheitslücke. (Quelle:Secunia)

Betroffen sind so gut wie alle Browser, darunter auch Mozilla, Firefox, Internet Explorer, Opera, Netscape und iCab. Der Konquerer des KDE-Projektes öffnet zwar auch die Dialogbox, allerdings zeigt er in der Kopfzeile die URL genau an. Aufmerksame Surfer können die Schwachstelle erkennen. Das Sicherheitsunternehmen hat einen Test konstruiert, mit dem Sie Ihren Browser auf die Lücke prüfen können.

Derzeit gibt es noch keinen Fix für die Browser. Secunia empfiehlt Ihnen, nur vertrauenswürdige Seiten aufzurufen.

Über aktuelle Sicherheitslücken informieren Sie die Security-Reports von tecCHANNEL in Kooperation mit Secunia. Sie können diesen Dienst auch als kostenlosen Newsletter abonnieren. Premium-Kunden haben zudem die Möglichkeit, sich bei hoch kritischen Lücken per Security Alert informieren zu lassen. (mja)

tecCHANNEL Buch-Shop

Literatur zum Thema IT-Sicherheit

Titelauswahl

Titel von Pearson Education

Bücher

PDF-Titel (50 % billiger als Buch)

Downloads