Über eine Schwachstelle in Mozilla und Mozilla Firefox können präparierte Websites das Benutzer-Interface fälschen. Das berichtet unsere Schwesterpublikation Tecchannel .
Das Problem entsteht, weil Mozilla- und Mozilla-Firefox-Web-Seiten keine Beschränkung beim Einbinden beliebiger XUL-Dateien (XML User Interface Language) auferlegen. Das Benutzer-Interface von Mozilla setzt sich aus XUL-Dateien zusammen. Ein Angreifer kann so einen Großteil des Benutzer-Interfaces fälschen und kontrolliert dann nahezu alles, was der Benutzer sehen kann, zum Beispiel Adressleisten, Werkzeugleisten und SSL-Zertifikat-Dialoge.
Ein Exploit für Mozilla Firefox wurde als Proof-of-Concept bereits von einem der Entdecker der Lücke, Jeff Smith, veröffentlicht. Er täuscht eine SSL-gesicherte Website vor. Die ist zwar weitgehend ohne Funktion, was sich nach Meinung von Smith aber durchaus ändern ließe.
Die Sicherheitslücke ist unter Linux bestätigt für Mozilla 1.7 und Mozilla Firefox 0.9.1, unter Windows für Mozilla 1.7.1 und Mozilla Firefox 0.9.2. Frühere Versionen könnten jedoch ebenfalls betroffen sein. Als Lösung gilt bislang nur, sich von unsicheren Web-Seiten fernzuhalten und auf eventuell veränderte Details im Benutzer-Interface zu achten.