13232

Datenlecks in Mozilla und Firefox

03.02.2006 | 16:51 Uhr |

Eine scheinbar harmlose Funktion in Mozilla-Browsern kann das Auslesen fremder Cookies ermöglichen.

Die Mozilla-Entwickler haben ihren Browsern, darunter Firefox, verschiedene Fähigkeiten beigebracht, die für besseren Gestaltungsmöglichkeiten von Web-Seiten gedacht sind. In scheinbar völlig harmlosen und unverdächtigen Funktionen werden jedoch immer wieder ausnutzbare Sicherheitsrisiken entdeckt. So kann etwa das CSS-Attribut "-moz-binding" in Verbindung mit Javascript genutzt werden, um fremde Cookies auszulesen, wie das französische Sicherheitsportal FR-SIRT berichtet.

Der Einsatz von Javascript über die Grenzen verschiedener Domains hinweg (so genanntes "Cross-Site-Scripting", XSS) hat schon mehrfach zu ausnutzbaren Schwachstellen geführt. Alle Browser enthalten Filterregeln, die XSS an bereits bekannten Angriffspunkten blockieren. Cascading Style Sheets (CSS) sind eigentlich nur als Formatvorlagen für Web-Seiten gedacht und bekannt.

Mit dem proprietären CSS-Attribut "-moz-binding" ermöglichen alle Mozilla-basierten Browser, einschließlich der gerade erst veröffentlichten Firefox-Version 1.5.0.1 , im Zusammenspiel mit der Extensible Binding Language (XBL) eine bislang unterschätzte Möglichkeit zum Zugriff auf Cookies und Session-Daten fremder Websites.

Mit auf diese Weise gekaperten Daten könnte ein Angreifer unter fremdem Namen zum Beispiel auf Shopping-Tour in Online-Shops gehen. Mögliche Lösungen des Problems werden derzeit noch diskutiert. Reale Fälle, in denen dieser Schwachpunkt böswillig ausgenutzt wird, sind zurzeit noch nicht bekannt.

0 Kommentare zu diesem Artikel
13232