Abo
  • Services:
Anzeige

Tabbed-Browsing: Sicherheitslücken in mehreren Web-Browsern

Sicherheitslöcher gestatten das Abschöpfen vertraulicher Daten

Das Sicherheitsunternehmen Secunia hat in zahlreichen Web-Browsern zwei Sicherheitslücken in den Tabbed-Browsing-Funktionen der betreffenden Applikationen entdeckt, worüber Angreifer sich Zugang zu vertraulichen Informationen verschaffen können. Auch der Internet Explorer ist von diesen Sicherheitslöchern betroffen, wenn ein Browser-Aufsatz mit Tabbed-Browsing-Funktionen verwendet wird.

Eines der von Secunia gefundenen Sicherheitslücken steckt in den Browsern Mozilla, Firefox, Netscape, Opera, Safari und Konqueror in den jeweils aktuellen Versionen. Von diesem Sicherheitsrisiko ist der Internet Explorer nicht direkt betroffen, da Microsofts Browser Tabbed Browsing gar nicht beherrscht. Dies ändert sich aber, wenn die Browser-Aufsätze Avant oder Maxthon (ehemals MyIE2) verwendet werden, so dass dann auch der Internet Explorer ein Risiko darstellt.

Anzeige

Eine entsprechend präparierte Webseite kann eine Dialogbox aus einem nicht aktiven Browser-Fenster heraus öffnen und ihre Opfer in den Glauben versetzen, die Dialogbox stamme von der gerade aktiven Seite. Ein Angreifer könnte sich so vertrauliche Daten wie Kontoverbindungen aneignen, indem diese von einer vermeintlich vertrauenswürdigen Webseite abgefragt werden. Um diese Sicherheitsgefahr ausnutzen zu können, muss das Opfer dazu gebracht werden, von einer böswilligen Webseite aus einem Link zu einer vertrauenswürdigen Quelle zu folgen und Letztere in einem neuen Unterfenster zu öffnen.

Secunia bietet eine Testseite an, die das Sicherheitsloch ausführt, um so zu überprüfen, ob das Sicherheitsleck im verwendeten Browser steckt und ausgenutzt werden kann.

Eine weitere Sicherheitslücke in den Tabbed-Browsing-Funktionen befindet sich in den Browsern Mozilla, Firefox, Netscape sowie den Browser-Aufsätzen für den Internet Explorer Avant und Maxthon. Auch hier muss ein Angreifer ein Opfer erst dazu bringen, einen Link einer vertrauenswürdigen Seite von einer böswilligen Webseite aus anzuklicken und diese Seite in einem neuen Unterfenster zu öffnen. Dann kann sich ein nicht aktives Browser-Fenster den Fokus einer anderen mit Formularfeldern versehenen Webseite schnappen, um so an vertrauliche Informationen wie Kreditkartendaten oder Bankverbindungen zu gelangen.

Auch für dieses Sicherheitsleck stellt Secunia eine Testseite bereit, um die Anfälligkeit des verwendeten Browsers zu prüfen.

Gegenüber Secunia hat bislang nur Opera bekannt gegeben, den Fehler mit der kommenden Version 7.60 beheben zu wollen. Um einen Angriff über diese beiden Sicherheitslöcher zu unterbinden, genügt es, JavaScript im Browser zu deaktivieren. Alternativ sollte man darauf achten, vertrauenswürdige Seiten nicht zusammen mit unbekannten Webseiten in einer Browser-Instanz zu öffnen.


eye home zur Startseite
mtsnoop 27. Okt 2004

genau das bringt es auf den punkt! dummheit ist keine sicherheitslücke für die die...

Veterinär UAC 21. Okt 2004

Natürlich weiß ich, was ein Veterinär ist. Und es bereitet mir immer wieder ein großes...

Apollo 21. Okt 2004

der IE aufsatz slimbrowser produziert die gleichen fehler ... und das sind sie. niemand...

DANIEL 21. Okt 2004

und zum schaufeln eine Schaufel

Plasma 21. Okt 2004

Bwahahaha! Kuckst du: https://www.golem.de/0410/34305.html



Anzeige

Stellenmarkt
  1. LogPay Financial Services GmbH, Eschborn
  2. Fresenius Kabi Deutschland GmbH, Oberursel
  3. Robert Bosch GmbH, Plochingen
  4. Heraeus infosystems GmbH, Hanau bei Frankfurt am Main


Anzeige
Top-Angebote
  1. 499,99€ - Wieder bestellbar. Ansonsten gelegentlich bezügl. Verfügbarkeit auf der Bestellseite...
  2. 349€ inkl. Abzug (Vergleichspreis 452€)
  3. (u. a. Far Cry Primal Digital Apex Edition 22,99€, Total War: WARHAMMER 16,99€ und Total War...

Folgen Sie uns
       


  1. Bundestagswahl 2017

    Union und SPD verlieren, Jamaika-Koalition rückt näher

  2. IFR

    Zahl der verkauften Haushaltsroboter steigt stark an

  3. FTTH

    CDU für Verkauf der Telekom-Aktien

  4. Konkurrenz

    Unitymedia gegen Bürgerprämie für Glasfaser

  5. Arduino MKR GSM und WAN

    Mikrocontroller-Boards überbrücken weite Funkstrecken

  6. Fahrdienst

    London stoppt Uber, Protest wächst

  7. Facebook

    Mark Zuckerberg lenkt im Streit mit Investoren ein

  8. Merged-Reality-Headset

    Intel stellt Project Alloy ein

  9. Teardown

    Glasrückseite des iPhone 8 kann zum Problem werden

  10. E-Mail

    Adobe veröffentlicht versehentlich privaten PGP-Key im Blog



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Parkplatz-Erkennung: Bosch und Siemens scheitern mit Pilotprojekten
Parkplatz-Erkennung
Bosch und Siemens scheitern mit Pilotprojekten
  1. Community based Parking Mercedes S-Klasse liefert Daten für Boschs Parkplatzsuche

Optionsbleed: Apache-Webserver blutet
Optionsbleed
Apache-Webserver blutet
  1. Apache-Sicherheitslücke Optionsbleed bereits 2014 entdeckt und übersehen
  2. Open Source Projekt Oracle will Java EE abgeben

Lenovo Thinkstation P320 Tiny im Test: Viel Leistung in der Zigarrenschachtel
Lenovo Thinkstation P320 Tiny im Test
Viel Leistung in der Zigarrenschachtel
  1. Adware Lenovo zahlt Millionenstrafe wegen Superfish
  2. Lenovo Smartphone- und Servergeschäft sorgen für Verlust
  3. Lenovo Patent beschreibt selbstheilendes Smartphone-Display

  1. Re: Das stimmt imho so nicht, ...

    Der Held vom... | 21:46

  2. Re: Kein Band 20

    RaZZE | 21:45

  3. Re: CDU, AfD und FDP - Bahamas Koalition

    azeu | 21:43

  4. Re: Und bei DSL?

    Matty194 | 21:42

  5. Re: Endlich Reißleine ziehen.

    Ovaron | 21:40


  1. 19:04

  2. 15:18

  3. 13:34

  4. 12:03

  5. 10:56

  6. 15:37

  7. 15:08

  8. 14:28


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel