• IT-Karriere:
  • Services:

Tabbed-Browsing: Sicherheitslücken in mehreren Web-Browsern

Sicherheitslöcher gestatten das Abschöpfen vertraulicher Daten

Das Sicherheitsunternehmen Secunia hat in zahlreichen Web-Browsern zwei Sicherheitslücken in den Tabbed-Browsing-Funktionen der betreffenden Applikationen entdeckt, worüber Angreifer sich Zugang zu vertraulichen Informationen verschaffen können. Auch der Internet Explorer ist von diesen Sicherheitslöchern betroffen, wenn ein Browser-Aufsatz mit Tabbed-Browsing-Funktionen verwendet wird.

Artikel veröffentlicht am ,

Eines der von Secunia gefundenen Sicherheitslücken steckt in den Browsern Mozilla, Firefox, Netscape, Opera, Safari und Konqueror in den jeweils aktuellen Versionen. Von diesem Sicherheitsrisiko ist der Internet Explorer nicht direkt betroffen, da Microsofts Browser Tabbed Browsing gar nicht beherrscht. Dies ändert sich aber, wenn die Browser-Aufsätze Avant oder Maxthon (ehemals MyIE2) verwendet werden, so dass dann auch der Internet Explorer ein Risiko darstellt.

Stellenmarkt
  1. über duerenhoff GmbH, Raum Frankfurt
  2. Hornbach-Baumarkt-AG, Bornheim bei Landau

Eine entsprechend präparierte Webseite kann eine Dialogbox aus einem nicht aktiven Browser-Fenster heraus öffnen und ihre Opfer in den Glauben versetzen, die Dialogbox stamme von der gerade aktiven Seite. Ein Angreifer könnte sich so vertrauliche Daten wie Kontoverbindungen aneignen, indem diese von einer vermeintlich vertrauenswürdigen Webseite abgefragt werden. Um diese Sicherheitsgefahr ausnutzen zu können, muss das Opfer dazu gebracht werden, von einer böswilligen Webseite aus einem Link zu einer vertrauenswürdigen Quelle zu folgen und Letztere in einem neuen Unterfenster zu öffnen.

Secunia bietet eine Testseite an, die das Sicherheitsloch ausführt, um so zu überprüfen, ob das Sicherheitsleck im verwendeten Browser steckt und ausgenutzt werden kann.

Eine weitere Sicherheitslücke in den Tabbed-Browsing-Funktionen befindet sich in den Browsern Mozilla, Firefox, Netscape sowie den Browser-Aufsätzen für den Internet Explorer Avant und Maxthon. Auch hier muss ein Angreifer ein Opfer erst dazu bringen, einen Link einer vertrauenswürdigen Seite von einer böswilligen Webseite aus anzuklicken und diese Seite in einem neuen Unterfenster zu öffnen. Dann kann sich ein nicht aktives Browser-Fenster den Fokus einer anderen mit Formularfeldern versehenen Webseite schnappen, um so an vertrauliche Informationen wie Kreditkartendaten oder Bankverbindungen zu gelangen.

Auch für dieses Sicherheitsleck stellt Secunia eine Testseite bereit, um die Anfälligkeit des verwendeten Browsers zu prüfen.

Gegenüber Secunia hat bislang nur Opera bekannt gegeben, den Fehler mit der kommenden Version 7.60 beheben zu wollen. Um einen Angriff über diese beiden Sicherheitslöcher zu unterbinden, genügt es, JavaScript im Browser zu deaktivieren. Alternativ sollte man darauf achten, vertrauenswürdige Seiten nicht zusammen mit unbekannten Webseiten in einer Browser-Instanz zu öffnen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 11,85€
  2. (-55%) 26,99€
  3. Tom Clancy's Rainbow Six Siege für 7,99€, Assassin's Creed Odyssey für 17,99€, Far Cry 5 für...
  4. (u. a. Need for Speed: Heat Deluxe Edition für 31,99€, FIFA 20 für 20,99€, Madden NFL 20...

mtsnoop 27. Okt 2004

genau das bringt es auf den punkt! dummheit ist keine sicherheitslücke für die die...

Veterinär UAC 21. Okt 2004

Natürlich weiß ich, was ein Veterinär ist. Und es bereitet mir immer wieder ein großes...

Apollo 21. Okt 2004

der IE aufsatz slimbrowser produziert die gleichen fehler ... und das sind sie. niemand...

DANIEL 21. Okt 2004

und zum schaufeln eine Schaufel

Plasma 21. Okt 2004

Bwahahaha! Kuckst du: https://www.golem.de/0410/34305.html


Folgen Sie uns
       


Probefahrt mit dem Corsa-e

Wir haben den vollelektrischen Opel Corsa-e einen Tag lang in Berlin und Brandenburg Probe gefahren.

Probefahrt mit dem Corsa-e Video aufrufen
    •  /