Javascript-Lücke: Fast alle Browser betroffen

Mehrere Browser, darunter Firefox und der Internet Explorer, ermöglichen es einem Angreifer, eine Datei von dem Rechner ihres Opfers zu erhalten. Wie Charles McAuley auf einer Mailing-Liste berichtet, können Tastatureingaben in ein anderes Formularfeld umgeleitet werden. Kennt der Angreifer den Namen der Datei, die er sucht, kann er sich so den Dateinamen zusammensetzen.

Was zunächst als zu komplex und zu theoretisch für eine praktische Anwendung erscheinen mag, ist angesichts der Vorkommnisse in den letzten Jahren durchaus ernst zu nehmen. Da Anwender offenkundig bereit sind, Anmeldedaten und ganze TAN-Listen in Formulare auf dubiosen Webseiten einzugeben, könnten Kriminelle auch mit diesem Trick ihr Glück versuchen.

Das Szenario erfordert, dass ein potenzielles Opfer zunächst auf eine vorbereitete Webseite gelockt wird, etwa durch einen Link in einer Mail oder per Instant Messenger. Diese Seite enthält ein nicht sichtbares Eingabefeld für das Hochladen einer Datei sowie sichtbare Formularfelder. Der Angreifer muss sein Opfer nun dazu bringen, bestimmte Buchstaben in das Formular einzutippen. Mittels Javascript kann er dann die eingegebenen Zeichen in das verdeckte Feld umleiten. Hat er alle benötigten Zeichen beisammen, kann er die gewünschte Datei unbemerkt vom Rechner des Opfers abrufen.

Diese Möglichkeit besteht sowohl bei den Browsern der Mozilla-Familie (Firefox, Mozilla Suite, Seamonkey, Netscape) als auch beim Internet Explorer. Testergebnisse mit Opera und anderen Webbrowsern sind bislang nicht veröffentlicht worden. Bei Mozilla ist dieser Angriffsvektor bereits seit mehreren Jahren bekannt. Microsoft will das Problem beim Internet Explorer 7 angehen. Abhilfe schafft zunächst das Deaktivieren von Javascript im Browser. (PC-Welt/mja)