Abo
  • Services:
Anzeige

Monate altes Sicherheitsleck in Mozilla und Firefox

Popup-Fenster kann Download-Dialog und Sicherheitshinweise verdecken

Der Sicherheitsspezialist Michael Krax berichtet über eine Sicherheitslücke in Mozilla und Firefox, worüber Angreifer Daten auf den Rechner anderer Nutzer schleusen können, indem Popup-Fenster andere Dialoge überdecken. Das Sicherheitsloch steckt auch im Internet Explorer, stellt hier allerdings ein geringeres Risiko dar.

Screenshot #1
Screenshot #1
Über das jetzt bekannt gewordene Sicherheitsloch in Mozilla und Firefox lassen sich Download-Dialoge teilweise durch ein Popup-Fenster verdecken, um Anwender so zum Download von Dateien zu verleiten. Im Glauben, einen Popup-Fenster-Dialog zu bestätigen, wird so etwa eine Programmdatei auf den Rechner geladen oder je nach Einstellungen und Dateityp auch gleich ausgeführt.

Anzeige

Screenshot #2
Screenshot #2
Aus Sicherheitsgründen dürfte ein Popup-Fenster eigentlich keine Dialogboxen verdecken, um die hier beschriebenen Manipulationen zu verhindern. Michael Krax hat Demos bereitgestellt, welche die Arbeitsweise des Sicherheitslochs zeigen. Wie Screenshot #1 illustriert, wird das Popup-Fenster in der Standardkonfiguration direkt über einen Firefox-Download-Dialog gelegt, so dass es den Anschein erweckt, die beiden Knöpfe "OK" und "Abbrechen" gehören zum Popup-Fenster.

Screenshot #3
Screenshot #3
Prinzipiell steckt das Sicherheitsleck auch im Internet Explorer, allerdings lässt sich ein Anwender darüber nicht so ohne weiteres austricksen, weil die Download-Knöpfe von Microsofts Browser anders beschriftet sind. Siehe dazu Screenshot #3. Der Opera-Browser verhält sich in dem geschilderten Fall, wie es aus Sicherheitsgründen empfohlen wird: Das Verdecken des Download-Dialogs ist nicht möglich, so dass der Dialog immer nach vorne springt.

Screenshot #4
Screenshot #4
Über das Sicherheitsloch lassen sich auch Sicherheitsdialoge in Mozilla oder Firefox durch ein Popup-Fenster verdecken. Allerdings muss dazu die Konfigurationseinstellung "signed.applets.codebase_principal_support" im Browser auf "true" gestellt werden, was normalerweise deaktiviert ist. Nach Angaben von Michael Krax würden einige XUL-Seiten eine entsprechende Änderung in den Einstellungen empfehlen.

Screenshot #5
Screenshot #5
Nach Angaben von Michael Krax hat er das Mozilla-Team bereits Mitte September 2004 - vor mehr als drei Monaten und damit lange vor Firefox 1.0 - über das Problem informiert, ohne dass das Sicherheitsleck bislang behoben wurde. Er hatte eigentlich die Hoffnung, dass das Mozilla-Team das Sicherheitsloch bis zur 1.0er-Version von Firefox beseitigen werde.

Der Fehler wurde für Mozilla 1.7.5 und Firefox 1.0 bestätigt. Deaktiviert man JavaScript im Browser, lässt sich das Sicherheitsloch nicht ausnutzen. Ein Patch zur Abhilfe ist weder für Mozilla noch für Firefox erhältlich. Als Workaround kann man in den JavaScript-Optionen den Punkt "Fenster vor oder hintere andere Fenster legen" deaktivieren, was standardmäßig aktiviert ist.


eye home zur Startseite
Elrond 25. Jan 2005

Ein User der auf dieses Sicherheitsloch reinfällt ist nicht in der Lage Firefox zu...

Michael - alt 18. Jan 2005

Bei Dir weiß ich das auch nie..... Klingt immer alles so hilflos....

kische40 14. Jan 2005

??? Wo hab ich was von Linux geschrieben? Unterbelichtet bist Du also nicht nur in...

Chuck 13. Jan 2005

Da hast du verdammt noch mal recht!

Mario 13. Jan 2005

Hallo Ingo Tja, dann macht es Opera 8 wohl anders. Ändern tut das aber alles nichts. Eine...


Fletcher's Weblog / 17. Jan 2005

Spoofing beim Firefox



Anzeige

Stellenmarkt
  1. afb Application Services AG, München
  2. IABG Industrieanlagen-Betriebsgesellschaft mbH, Koblenz, Ottobrunn bei München
  3. KES-Softwareentwicklung, Pforzheim (Home-Office möglich)
  4. PHOENIX CONTACT GmbH & Co. KG, Blomberg


Anzeige
Hardware-Angebote
  1. 619,00€ + 3,99€ Versand (Vergleichspreis ab 664€)
  2. (täglich neue Deals)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Leap Motion und Qualcomm

    Drahtloses VR-Headset mit Hand-Tracking ausprobiert

  2. Sandisk iNand 7350

    WD rüstet Speicher für Smartphones auf

  3. Uncharted 4

    34.000 Animationsphasen für ein Action-Adventure

  4. Aneeda und Dial

    Die Nicht-Smartwatch der Telekom wird wohl nicht fertig

  5. The Legend of Zelda (1986 und 1995)

    Ein Abenteuer-Fundament für die Ewigkeit

  6. Mehr Möbel als Gadget

    Eine Holzfernbedienung für das Smart Home

  7. Der Herr der Ringe

    Schatten des Krieges in Mittelerde angekündigt

  8. Konzeptfahrzeug

    Peugeot Instinct - autonom fahren oder manuell steuern

  9. Später Lesen

    Mozilla übernimmt Hersteller von Pocket

  10. Nokia 3, 5 und 6 im Hands on

    Ein guter Neuanfang ist gemacht



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Trappist-1: Der Zwerg und die sieben Planeten
Trappist-1
Der Zwerg und die sieben Planeten
  1. Weltraumteleskop Erosita soll Hinweise auf Dunkle Energie finden
  2. Astrophysik Ferne Galaxie schickt grelle Blitze zur Erde
  3. Astronomie Vera Rubin, die dunkle Materie und der Nobelpreis

Limux: Die tragische Geschichte eines Leuchtturm-Projekts
Limux
Die tragische Geschichte eines Leuchtturm-Projekts
  1. Limux München prüft Rückkehr zu Windows
  2. Limux-Projekt Windows könnte München mehr als sechs Millionen Euro kosten
  3. Limux Münchner Stadtrat ignoriert selbst beauftragte Studie

Wacoms Intuos Pro Paper im Test: Weg mit digital, her mit Stift und Papier!
Wacoms Intuos Pro Paper im Test
Weg mit digital, her mit Stift und Papier!
  1. Pro x2 G2 HPs Surface-Konkurrent bekommt neue Hardware
  2. Wacom Brainwave Ein Graph sagt mehr als tausend Worte
  3. Canvas Dells Stift-Tablet bedient sich bei Microsoft und Wacom

  1. Re: 5G teurer als FTTH?

    RipClaw | 11:25

  2. Secret of Mana, Secret of Evemore , Suikoden(ps1)

    Georgm. | 11:24

  3. Re: Danke!

    faxe78 | 11:22

  4. Re: 90 Tage sind auch genug Zeit

    redmord | 11:22

  5. Re: Jaa wenn es um Geld geht....

    RipClaw | 11:22


  1. 10:30

  2. 10:05

  3. 10:00

  4. 09:54

  5. 09:15

  6. 08:03

  7. 07:54

  8. 07:44


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel