Gefahr durch XSS-Lücke

In der aktuellen Version des Web-Browsers Mozilla Firefox steckt eine Schwachstelle im Umgang mit JAR-Archiven. Das Problem ist den Mozilla-Entwicklern bereits seit Anfang 2007 bekannt, es gibt jedoch noch keinen Fix dagegen. Die Sicherheitslücke ermöglicht XSS-Angriffe (Cross-Site Scripting), mit denen Zugangsdaten für Online-Dienste ausspioniert werden könnten, berichtet das Internet Storm Center.

Das Problem besteht in einer unsicheren Implementierung des JAR-Protokolls von Sun, den Erfindern von Java. JAR-Archive sind im Prinzip ZIP-Archive mit einer anderen Dateiendung. Sie können daher auch beliebige andere Dateien enthalten, nicht nur Java-Code. Firefox stellt zum Beispiel eine in einer JAR-Datei enthaltene Datei "index.html" im Browser-Fenster dar, als ob sie direkt auf dem Web-Server liegen würde.

Aufrufe solcher JAR-Dateien haben die Form "jar:https://beispiel.de/beispiel.jar!/mein.htm". Damit lassen sich Javascript-Filter von Community-Sites wie Myspace.com austricksen, um an Zugangsdaten zu gelangen. Die Weiterleitungsseiten von Google sind ein weiteres Beispiel - die Zugangsdaten zu Google-Konten (etwa Google Mail) lassen sich so ausspionieren. Von diesen Weiterleitungsseiten gibt es eine ganze Menge bei Google. Möglicherweise ließe sich damit auch beliebiger Code einschleusen und ausführen.

Die Dateiendung muss nicht einmal ".jar" lauten - es kann auch eine Endung wie ".jpg" verwendet werden, die scheinbar auf ein Bild hinweist. Maßgeblich ist der so genannte MIME-Typ der Datei, den der Web-Server an den Browser übermittelt und den ein Anwender nicht zu sehen bekommt.

Ein Sicherheits-Update für Firefox ist derzeit noch nicht verfügbar. Firefox-Benutzer können sich durch Installation der aktuellen Version der Erweiterung NoScript schützen.