Ernste Spoofing-Lücke in Firefox

Die Schwachstelle ergibt sich daraus, wie die derzeit aktuelle Version von Firefox Anmeldungen behandelt. Das lässt sich laut dem Entdecker, Aviv Raff, ausnutzen, um ahnungslosen Anwendern ihre Passwörter zu entlocken. Raff hat den Fehler gemeldet, gibt aber keine genauen Datails dazu heraus.

Raff behauptet, dass Firefox 2.0.0.11 einfache Anführungszeichen nicht ausreichend überprüft. Somit könnte ein Angreifer einen Authentisierungs-Dialog basteln, der aussieht als käme er von der vertrauenswürdigen Webseite. Raff hat ein Video auf YouTube veröffentlich, das die Lücke beweisen soll. Er demonstriert die Spoofing-Angriff in Zusammenhang mit „Googles Checkout Payment“-System. (jdo)

Sie interessieren sich für IT-Security? Über aktuelle Sicherheitslücken informieren Sie die Security-Reports von tecCHANNEL in Kooperation mit Secunia. Sie können diesen Dienst auch als kostenlosen Newsletter oder als tägliche tecCHANNEL Security Summary abonnieren. Premium-Kunden haben zudem die Möglichkeit, sich bei hoch kritischen Lücken per Security Alert informieren zu lassen.