Sicherheitsloch in Konqueror

Fremde Seiten können unter bestimmten Domains Cookie-Daten ausspähen. Der britische Internet-Provider Westpoint hat eine Sicherheitslücke im Web-Browser Konqueror entdeckt. Cookies von bestimmten Länder-Domains können so gesetzt werden, dass sie an alle Seiten dieser Länder-Domain gesendet werden.

23. August 2004 um 16:15 Uhr / Jens Ihlenfeld

Kommentare News folgen (öffnet im neuen Fenster)

Betroffen sind dabei Domains wie ltd.uk, .plc.uk und .firm.in, die neben der Top-Level-Domain eine weitere allgemeine Second-Level-Domain verwenden, die nicht .com, .net, .mil, .org, .gov, .edu oder .int ist. Domains wie .co.uk oder .com sind nicht betroffen. Damit wird es für Angreifer möglich, mit Websites unter diesen übergeordneten Domains beispielsweise Session-Daten auszulesen und aktive Sessions des Nutzers zu übernehmen.

Entsprechende Source-Code-Patches(öffnet im neuen Fenster) für KDE 3.05b, 3.1.5 und KDE 3.2.3, die den Fehler beheben, bietet das KDE-Team zum Download an. In der kürzlich erschienenen KDE-Version 3.3 ist der Fehler bereits beseitigt.

Zur Startseite Kommentare

Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

Cross-Domain-Sicherheitslücke in fast allen Browsern

Netscape, Mozilla, Firefox, Opera, Safari, Konqueror und IE betroffen. Nach einem Beitrag auf der Sicherheitsseite Secunia.com befindet sich die Sicherheitslücke zur Verhinderung von Cross-Domain-Zugriffen nicht nur wie zunächst angenommen im aktuellen Internet Explorer, sondern wurde in den meisten aktuellen Browsern entdeckt. Das Sicherheitsleck erlaubt es Angreifern, bei mehr als einem geöffneten Browser-Fenster gefälschte Inhalte in einer Frame-Seite anzuzeigen und dem Nutzer so eine andere Herkunft der Daten vorzugaukeln.

Relevante Themen