42758

Spoofing-Sicherheitslücke in Mozilla und Firefox

03.08.2004 | 14:36 Uhr |

Mozilla und Firefox besitzen eine Sicherheitlücke, durch die Angreifer die Programmoberfläche manipulieren können. Eine Lösung für das Problem existiert derzeit noch nicht.

Über eine Schwachstelle in Mozilla und Mozilla Firefox können präparierte Websites das Benutzer-Interface fälschen. Das berichtet unsere Schwesterpublikation Tecchannel .

Das Problem entsteht, weil Mozilla- und Mozilla-Firefox-Web-Seiten keine Beschränkung beim Einbinden beliebiger XUL-Dateien (XML User Interface Language) auferlegen. Das Benutzer-Interface von Mozilla setzt sich aus XUL-Dateien zusammen. Ein Angreifer kann so einen Großteil des Benutzer-Interfaces fälschen und kontrolliert dann nahezu alles, was der Benutzer sehen kann, zum Beispiel Adressleisten, Werkzeugleisten und SSL-Zertifikat-Dialoge.

Ein Exploit für Mozilla Firefox wurde als Proof-of-Concept bereits von einem der Entdecker der Lücke, Jeff Smith, veröffentlicht. Er täuscht eine SSL-gesicherte Website vor. Die ist zwar weitgehend ohne Funktion, was sich nach Meinung von Smith aber durchaus ändern ließe.

Die Sicherheitslücke ist unter Linux bestätigt für Mozilla 1.7 und Mozilla Firefox 0.9.1, unter Windows für Mozilla 1.7.1 und Mozilla Firefox 0.9.2. Frühere Versionen könnten jedoch ebenfalls betroffen sein. Als Lösung gilt bislang nur, sich von unsicheren Web-Seiten fernzuhalten und auf eventuell veränderte Details im Benutzer-Interface zu achten.

0 Kommentare zu diesem Artikel
42758