Cross-Domain-Sicherheitslücke in fast allen Browsern

Netscape, Mozilla, Firefox, Opera, Safari, Konqueror und IE betroffen. Nach einem Beitrag(öffnet im neuen Fenster) auf der Sicherheitsseite Secunia.com befindet sich die Sicherheitslücke zur Verhinderung von Cross-Domain-Zugriffen nicht nur wie zunächst angenommen im aktuellen Internet Explorer, sondern wurde in den meisten aktuellen Browsern entdeckt. Das Sicherheitsleck erlaubt es Angreifern, bei mehr als einem geöffneten Browser-Fenster gefälschte Inhalte in einer Frame-Seite anzuzeigen und dem Nutzer so eine andere Herkunft der Daten vorzugaukeln.

2. Juli 2004 um 10:37 Uhr / Ingo Pakalski

Kommentare News folgen (öffnet im neuen Fenster)

Die vor wenigen Tagen berichtete Sicherheitslücke schien zunächst nur den Internet Explorer in der aktuellen Version und nur die Windows-Ausführung zu betreffen. Nun hat Secunia in Erfahrung gebracht, dass auch die Browser Netscape, Mozilla, Firefox, Opera, Safari, Konqueror sowie der Internet Explorer auf den verfügbaren Plattformen von dem Problem betroffen sind. Einzig Mozilla 1.7 sowie Firefox ab der Version 0.9 weisen diese Sicherheitslücke nicht mehr auf. Für die übrigen Browser werden derzeit keine Patches angeboten.

Das Sicherheitsloch beim Umgang mit Cross-Domain-Daten erlaubt es einer Webseite, Daten in einem anderen geöffneten Browser-Fenster einzuschleusen, ohne dass der Nutzer die wahre Herkunft der Daten erkennt. Derartiger Fremdzugriff auf andere Browser-Fenster sollte eigentlich nicht möglich sein. Als Szenario könnte ein Angreifer etwa Bankverbindungen abfragen, indem dem Nutzer vorgegaukelt wird, die Daten würden an einen vertrauenswürdigen Online-Shop übermittelt. Als Abhilfe empfiehlt es sich, bei der Übermittlung sensitiver Daten nur mit einem geöffneten Browser-Fenster zu arbeiten, so dass die Sicherheitslücke nicht ausgenutzt werden kann.

Zur Startseite Kommentare

Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

Wir können auch anders: Microsoft patcht Internet Explorer

Patch deaktiviert ein beständiges Sicherheitsrisiko im Internet Explorer. Ungewöhnlich offensiv kommuniziert Microsoft per Pressemitteilung eine als Patch erschienene Modifikation für den Internet Explorer, wodurch eine zentrale Browser-Funktion deaktiviert wird. Damit schlägt Redmond einen neuen Weg ein, indem ein im Browser schlummerndes Sicherheitsrisiko abgeschaltet und entsprechenden Angriffen der Nährboden entzogen wird, anstatt wie bisher üblich neu gefundene Sicherheitslücken mit jeweils anderen Patches zu beheben.

Sicherheitslücke in KDE

Angreifer könnten Zugriff auf persönliche Dateien und E-Mails erhalten. Nachdem iDefense vor rund einer Woche auf eine Sicherheitslücke im Web-Browser Opera hingewiesen hatte, haben die Entwickler von KDE nun auf eine ähnliche Sicherheitslücke in KDE aufmerksam gemacht. Damit ist es Angreifern möglich, Dateien auf verwundbaren Systemen zu verändern.

Sicherheitslücke verschleiert Dateiendung im Opera-Browser

Ähnliche Sicherheitslücke wie im Internet Explorer vom Januar 2004. Ein Ende Januar 2004 entdecktes Sicherheitsloch im Internet Explorer beim Umgang mit gefälschten CLASSIDs wurde nun auch in der Windows-Version des Opera-Browsers gefunden: Beiden Browsern können Dateien mit gefälschten Endungen untergeschoben werden, wie die Sicherheitsseite Secunia berichtet.

Relevante Themen