243168

Javascript-Anfälligkeit in mehreren Browsern

07.06.2006 | 16:19 Uhr |

Die Behandlung von Eingabefeldern zum Hochladen von Dateien kann Angriffe ermöglichen, wenn die Anwender mithelfen.

Mehrere Browser, darunter Firefox und der Internet Explorer, ermöglichen es einem Angreifer eine Datei von dem Rechner ihres Opfers zu erhalten. Wie Charles McAuley auf einer Mailing-Liste berichtet, können Tastatureingaben in ein anderes Formularfeld umgeleitet werden. Kennt der Angreifer den Namen der Datei, die er sucht, kann er sich so den Dateinamen zusammen setzen.

Was zunächst zu komplex und zu theoretisch für eine praktische Anwendung erscheinen mag, ist angesichts der Vorkommnisse in den letzten Jahren durchaus ernst zu nehmen. Da Anwender offenkundig bereit sind Anmeldedaten und ganze TAN-Listen in Formulare auf dubiosen Web-Seiten einzugeben, könnten Kriminelle auch mit diesem Trick ihr Glück versuchen.

Das Szenario erfordert, dass ein potenzielles Opfer zunächst auf eine vorbereitete Web-Seite gelockt wird, etwa durch einen Link in einer Mail oder per Instant Messenger. Diese Seite enthält ein nicht sichtbares Eingabefeld für das Hochladen einer Datei sowie sichtbare Formularfelder. Der Angreifer muss sein Opfer nun dazu bringen bestimmte Buchstaben in das Formular einzutippen. Mittels Javascript kann er dann die eingegebenen Zeichen in das verdeckte Feld umleiten. Hat er alle benötigten Zeichen beisammen, kann er die gewünschte Datei unbemerkt vom Rechner des Opfers abrufen.

Diese Möglichkeit besteht sowohl bei den Browsern der Mozilla-Familie (Firefox, Mozilla Suite, Seamonkey, Netscape) als auch beim Internet Explorer. Testergebnisse mit Opera und anderen Web-Browsern sind bislang nicht veröffentlicht worden. Bei Mozilla ist dieser Angriffsvektor bereits seit mehreren Jahren bekannt. Microsoft will das Problem beim Internet Explorer 7 angehen.

Abhilfe schafft zunächst das Deaktivieren von Javascript im Browser. Wenn Sie Firefox einsetzen und auf verschiedenen Web-Seiten nicht auf Javascript verzichten können oder wollen, können Sie sich mit der Firefox-Erweiterung "Noscript" behelfen. Damit können Sie Javascript für alle Websites bis auf ausgewählte abschalten.

0 Kommentare zu diesem Artikel
243168