Anzeige

Tabbed-Browsing: Sicherheitslücken in mehreren Web-Browsern

Sicherheitslöcher gestatten das Abschöpfen vertraulicher Daten

Das Sicherheitsunternehmen Secunia hat in zahlreichen Web-Browsern zwei Sicherheitslücken in den Tabbed-Browsing-Funktionen der betreffenden Applikationen entdeckt, worüber Angreifer sich Zugang zu vertraulichen Informationen verschaffen können. Auch der Internet Explorer ist von diesen Sicherheitslöchern betroffen, wenn ein Browser-Aufsatz mit Tabbed-Browsing-Funktionen verwendet wird.

Anzeige

Eines der von Secunia gefundenen Sicherheitslücken steckt in den Browsern Mozilla, Firefox, Netscape, Opera, Safari und Konqueror in den jeweils aktuellen Versionen. Von diesem Sicherheitsrisiko ist der Internet Explorer nicht direkt betroffen, da Microsofts Browser Tabbed Browsing gar nicht beherrscht. Dies ändert sich aber, wenn die Browser-Aufsätze Avant oder Maxthon (ehemals MyIE2) verwendet werden, so dass dann auch der Internet Explorer ein Risiko darstellt.

Eine entsprechend präparierte Webseite kann eine Dialogbox aus einem nicht aktiven Browser-Fenster heraus öffnen und ihre Opfer in den Glauben versetzen, die Dialogbox stamme von der gerade aktiven Seite. Ein Angreifer könnte sich so vertrauliche Daten wie Kontoverbindungen aneignen, indem diese von einer vermeintlich vertrauenswürdigen Webseite abgefragt werden. Um diese Sicherheitsgefahr ausnutzen zu können, muss das Opfer dazu gebracht werden, von einer böswilligen Webseite aus einem Link zu einer vertrauenswürdigen Quelle zu folgen und Letztere in einem neuen Unterfenster zu öffnen.

Secunia bietet eine Testseite an, die das Sicherheitsloch ausführt, um so zu überprüfen, ob das Sicherheitsleck im verwendeten Browser steckt und ausgenutzt werden kann.

Eine weitere Sicherheitslücke in den Tabbed-Browsing-Funktionen befindet sich in den Browsern Mozilla, Firefox, Netscape sowie den Browser-Aufsätzen für den Internet Explorer Avant und Maxthon. Auch hier muss ein Angreifer ein Opfer erst dazu bringen, einen Link einer vertrauenswürdigen Seite von einer böswilligen Webseite aus anzuklicken und diese Seite in einem neuen Unterfenster zu öffnen. Dann kann sich ein nicht aktives Browser-Fenster den Fokus einer anderen mit Formularfeldern versehenen Webseite schnappen, um so an vertrauliche Informationen wie Kreditkartendaten oder Bankverbindungen zu gelangen.

Auch für dieses Sicherheitsleck stellt Secunia eine Testseite bereit, um die Anfälligkeit des verwendeten Browsers zu prüfen.

Gegenüber Secunia hat bislang nur Opera bekannt gegeben, den Fehler mit der kommenden Version 7.60 beheben zu wollen. Um einen Angriff über diese beiden Sicherheitslöcher zu unterbinden, genügt es, JavaScript im Browser zu deaktivieren. Alternativ sollte man darauf achten, vertrauenswürdige Seiten nicht zusammen mit unbekannten Webseiten in einer Browser-Instanz zu öffnen.


eye home zur Startseite
mtsnoop 27. Okt 2004

genau das bringt es auf den punkt! dummheit ist keine sicherheitslücke für die die...

Veterinär UAC 21. Okt 2004

Natürlich weiß ich, was ein Veterinär ist. Und es bereitet mir immer wieder ein großes...

Apollo 21. Okt 2004

der IE aufsatz slimbrowser produziert die gleichen fehler ... und das sind sie. niemand...

DANIEL 21. Okt 2004

und zum schaufeln eine Schaufel

Plasma 21. Okt 2004

Bwahahaha! Kuckst du: http://www.golem.de/0410/34305.html

Kommentieren



Anzeige

  1. System-SW-Entwickler/in Embedded Security für Fahrerassistenzsysteme
    Robert Bosch GmbH, Leonberg
  2. Integration Manager Processes and IT (m/w)
    Robert Bosch GmbH, Leinfelden-Echterdingen
  3. IT-Mitarbeiter / innen fachlich-technische Dienstleistungen
    Landeshauptstadt München, München
  4. Manager Software Development (m/w)
    TAKATA AG, Berlin und Aschaffenburg

Detailsuche



Anzeige
Blu-ray-Angebote
  1. NUR BIS SONNTAG: 3 Blu-rays für 20 EUR
    (u. a. Spaceballs, Anastasia, Bullitt, Over the top, Space Jam)
  2. VORBESTELLBAR: X-Men Apocalypse [Blu-ray]
    19,99€ (Vorbesteller-Preisgarantie)
  3. VORBESTELLBAR: Warcraft: The Beginning (+ Blu-ray)
    27,99€

Weitere Angebote


Folgen Sie uns
       


  1. ZUK Z2

    Android-Smartphone mit Snapdragon 820 für 245 Euro

  2. Zenbook 3 im Hands on

    Kleiner, leichter und schneller als das Macbook

  3. Autokauf

    Landgericht Köln entdeckt, dass SMS sich löschen lassen

  4. Toughpad FZ-B2 Mk 2

    Panasonic zeigt neues Full-Ruggedized-Tablet mit Android

  5. Charm

    Samsungs Fitness-Tracker mit langer Laufzeit kostet 30 Euro

  6. Nach Kritik

    Pornhub überarbeitet sein Bounty-Programm

  7. Forschung

    Forcephone macht jedes Smartphone Force-Touch-tauglich

  8. Unity

    Jobplattform für Entwickler und neues Preismodell

  9. Internetzugang

    Deutsche Telekom entschuldigt sich vergeblich bei Bushido

  10. Basistunnel

    Bestens vernetzt durch den Gotthard



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Business-Notebooks im Überblick: Voll ausgestattet, dockingtauglich und trotzdem klein
Business-Notebooks im Überblick
Voll ausgestattet, dockingtauglich und trotzdem klein
  1. Elitebook 1030 G1 HPs Core-M-Notebook soll 13 Stunden durchhalten
  2. Windows 7 und 8.1 Microsoft verlängert den Skylake-Support
  3. Intel Authenticate Fingerabdruck und Bluetooth-Smartphone entsperren PC

Cloudready im Test: Ein altes Gerät günstig zum Chromebook machen
Cloudready im Test
Ein altes Gerät günstig zum Chromebook machen
  1. Chrome OS Android-Apps kommen auf Chromebooks
  2. Acer-Portfolio 2016 Vom 200-Hz-Curved-Display bis zum 15-Watt-passiv-Detachable

Unternehmens-IT: Von Kabelsalat und längst überfälligen Upgrades
Unternehmens-IT
Von Kabelsalat und längst überfälligen Upgrades
  1. Sprachassistent Voßhoff will nicht mit Siri sprechen
  2. LizardFS Software-defined Storage, wie es sein soll
  3. HPE Hyper Converged 380 Kleines System für das schnelle Erstellen von VMs

  1. Re: Wenn Tim Cook aus dem Fenster springt.....

    körner | 18:09

  2. Re: Wahrscheinlichkeiten

    quineloe | 18:09

  3. Re: Akku

    Carlo Escobar | 18:09

  4. Re: Gibt's auch noch ein Strafverfahren wegen Betrug?

    quineloe | 18:07

  5. Re: Wer nutzt den Klinkenstecker-Anschluss?

    HubertHans | 18:06


  1. 17:31

  2. 17:26

  3. 16:48

  4. 16:35

  5. 15:40

  6. 14:13

  7. 13:50

  8. 13:10


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel