Gefälschtes Interface - Lücke in Mozilla/Firefox

Über eine Schwachstelle in Mozilla und Mozilla Firefox können präparierte Websites das Benutzer-Interface fälschen.

Das Problem entsteht, weil Mozilla- und Mozilla-Firefox-Webseiten keine Beschränkung beim Einbinden beliebiger XUL-Dateien (XML User Interface Language) auferlegen. Das Benutzer-Interface von Mozilla setzt sich aus XUL-Dateien zusammen. Ein Angreifer kann so einen Großteil des Benutzer-Interfaces fälschen und kontrolliert dann nahezu alles, was der Benutzer sehen kann, zum Beispiel Adressleisten, Werkzeugleisten und SSL-Zertifikat-Dialoge. Ein Exploit für Mozilla Firefox wurde als Proof-of-Concept bereits von einem der Entdecker der Lücke, Jeff Smith, veröffentlicht. Er täuscht eine SSL-gesicherte Website vor. Die ist zwar weitgehend ohne Funktion, was sich nach Meinung von Smith aber durchaus ändern ließe.

Die Sicherheitslücke ist unter Linux bestätigt für Mozilla 1.7 und Mozilla Firefox 0.9.1, unter Windows für Mozilla 1.7.1 und Mozilla Firefox 0.9.2. Frühere Versionen könnten laut dem entsprechenden Security Report jedoch ebenfalls betroffen sein. Als Lösung gilt bislang nur, sich von unsicheren Webseiten fernzuhalten und auf eventuell veränderte Details im Benutzer-Interface zu achten.

Um über Sicherheitslücken auf dem Laufenden zu bleiben, empfiehlt sich ein Blick in die Security Reports von tecCHANNEL. Den Service, der in Zusammenarbeit mit Secunia angeboten wird, können Sie auch als kostenlosen Newsletter abonnieren. (uba)