Phishing-Lücke
Neue Sicherheitslücke in Firefox entdeckt
In den aktuellen Versionen von Firefox ist eine neue Sicherheitslücke entdeckt worden, die Phishing-Angriffe erleichtern kann. Auch ältere Browser-Versionen sind anfällig. Mozilla arbeitet bereits an einem Sicherheits-Update.
In allen aktuellen Version von Firefox steckt eine Schwachstelle, die es einem Angreifer ermöglichen kann eine neue Seite in einem neuen Tab oder Fenster zu laden, deren Herkunft er fälschen kann. Es handelt sich um eine so genannte Spoofing-Lücke. Mozilla ist über die Sicherheitslücke informiert und hat die Ursache des Problems bereits gefunden. Ein Update für Firefox 3.5.1 und 3.0.12 wird derzeit getestet.
Eine erfolgreiche Ausnutzung der Schwachstelle kann einen Phishing-Angriff recht überzeugend machen. Die Ausnutzung ist recht einfach. Dazu wird ein neues Fenster (oder Tab) geöffnet, dessen Zieladresse nicht existiert. Mitten in diesem Vorgang wird der Inhalt der Seite per Javascript manipuliert. Beispiel-Code für die Ausnutzung der Sicherheitslücke ist öffentlich verfügbar.
Im Mozilla Security Blog heißt es dazu, Benutzer hätten keine Möglichkeit, die Richtigkeit der Adressenangabe in der URL-Leiste zu überprüfen. Zur Vermeidung eines Phishing-Angriffs sollten Anwender vertrauliche Informationen wie Anmeldedaten nicht in Seiten eingeben, die durch Anklicken eines Links auf einer nicht vertrauenswürdigen Seite geöffnet werden.
Die Mozilla-Entwickler haben bereits eine Lösung für das Problem gefunden und in die Quelltexte von Firefox eingearbeitet. Wann ein Sicherheits-Update für Firefox bereit gestellt wird, ist derzeit noch ungewiss. Firefox 3.5.2 und 3.0.13 sind ohnehin für Anfang August angekündigt und werden wohl auch diese Lücke schließen.
