Firefox Popup-Blocker erlaubt Dateizugriffe

Mittwoch den 07.02.2007 um 17:05 Uhr

von Frank Ziemann

Ein Sicherheitsforscher hat eine Schwachstelle in Firefox entdeckt, die mit Hilfe des integrierten Popup-Blockers das Auslesen von beliebigen lokal gespeicherten Dateien ermöglich kann.
Der polnische Sicherheitsforscher Michal Zalewski hat einmal mehr eine Sicherheitslücke im Browser Firefox gefunden. Durch Austricksen des in Firefox enthaltenen Popup-Blockers kann ein Angreifer Zugriff auf beliebige Dateien auf der Festplatte erlangen. Michal Zalewski ist bereits mehrfach mit der Entdeckung von Sicherheitslücken in Browsern wie dem Internet Explorer oder Firefox in Erscheinung getreten.

In diesem Fall geht es darum, lokal gespeicherte Dateien auszulesen. Normalerweise erlaubt Firefox aus gutem Grund Web-Seiten keine Zugriffe über das Dateiprotokoll "file:///". Somit sollte es einem Web-Server nicht möglich sein, auch nicht mit Hilfe von Javascript, lokale Dateien auf den Rechnern von Besuchern auszulesen. Michal Zalewski hat jedoch einen Weg gefunden, diese Einschränkung auszuhebeln.

Die Idee ist dabei, dass eine lokal gespeicherte HTML-Datei durchaus auf andere lokale Dateien zugreifen darf, denn hier greift das "Prinzip des gleichen Ursprungs". Das Problem ist jedoch, eine solche HTML-Datei einzuschleusen und aufzurufen. Zalewski nutzt hierzu den Popup-Blocker von Firefox. Durch Anklicken eines Links auf einer vorbereiteten Web-Seite wird der Download eines Server-Script angestoßen, dessen Ergebnis in einer Datei gespeichert wird.

Eine von der Web-Seite angezeigte Meldung muss nun den Besucher davon überzeugen ein Popup zu akzeptieren - etwa unter dem Vorwand, ein Media Player oder dergleichen müsse zum Abspielen eines Videos geöffnet werden. Durch Schwächen in der Art und Weise, wie Firefox die Namen temporärer Dateien pseudo-zufällig erzeugt, kann Zalewski den Namen der gespeicherten Datei ermitteln.

Sie wird nun im Kontext des lokalen Systems geöffnet und darf deshalb auf lokale Dateien zugreifen. In einem Demonstrationsbeispiel könnte dem Benutzer etwa der Inhalt einer lokalen Datei, deren Name bekannt ist (etwa c:\boot.ini) vom Web-Server angezeigt werden. Dies sollte eigentlich nicht möglich sein.

Zalewski gibt an, betroffen sei Firefox 1.5.0.9, über die 2.x-Versionen macht er keine Angaben. Von Seiten der Mozilla-Entwickler gibt es noch keine offizielle Stellungnahme. Die Fehlerdatenbank Bugzilla enthält bereits einen Eintrag dazu, einschließlich Zalewskis Beschreibung. Die Diskussion um die Behebung des Problems läuft, wann ein Update erscheinen wird, ist derzeit noch nicht abzusehen.

Mittwoch den 07.02.2007 um 17:05 Uhr

von Frank Ziemann

Kommentieren Kommentare zu diesem Artikel (0)
210042