• IT-Karriere:
  • Services:

Monate altes Sicherheitsleck in Mozilla und Firefox

Popup-Fenster kann Download-Dialog und Sicherheitshinweise verdecken

Der Sicherheitsspezialist Michael Krax berichtet über eine Sicherheitslücke in Mozilla und Firefox, worüber Angreifer Daten auf den Rechner anderer Nutzer schleusen können, indem Popup-Fenster andere Dialoge überdecken. Das Sicherheitsloch steckt auch im Internet Explorer, stellt hier allerdings ein geringeres Risiko dar.

Artikel veröffentlicht am ,

Screenshot #1
Screenshot #1
Über das jetzt bekannt gewordene Sicherheitsloch in Mozilla und Firefox lassen sich Download-Dialoge teilweise durch ein Popup-Fenster verdecken, um Anwender so zum Download von Dateien zu verleiten. Im Glauben, einen Popup-Fenster-Dialog zu bestätigen, wird so etwa eine Programmdatei auf den Rechner geladen oder je nach Einstellungen und Dateityp auch gleich ausgeführt.

Stellenmarkt
  1. Hochschule Heilbronn, Heilbronn
  2. Senatsverwaltung für Bildung, Jugend und Familie, Berlin Mitte

Screenshot #2
Screenshot #2
Aus Sicherheitsgründen dürfte ein Popup-Fenster eigentlich keine Dialogboxen verdecken, um die hier beschriebenen Manipulationen zu verhindern. Michael Krax hat Demos bereitgestellt, welche die Arbeitsweise des Sicherheitslochs zeigen. Wie Screenshot #1 illustriert, wird das Popup-Fenster in der Standardkonfiguration direkt über einen Firefox-Download-Dialog gelegt, so dass es den Anschein erweckt, die beiden Knöpfe "OK" und "Abbrechen" gehören zum Popup-Fenster.

Screenshot #3
Screenshot #3
Prinzipiell steckt das Sicherheitsleck auch im Internet Explorer, allerdings lässt sich ein Anwender darüber nicht so ohne weiteres austricksen, weil die Download-Knöpfe von Microsofts Browser anders beschriftet sind. Siehe dazu Screenshot #3. Der Opera-Browser verhält sich in dem geschilderten Fall, wie es aus Sicherheitsgründen empfohlen wird: Das Verdecken des Download-Dialogs ist nicht möglich, so dass der Dialog immer nach vorne springt.

Screenshot #4
Screenshot #4
Über das Sicherheitsloch lassen sich auch Sicherheitsdialoge in Mozilla oder Firefox durch ein Popup-Fenster verdecken. Allerdings muss dazu die Konfigurationseinstellung "signed.applets.codebase_principal_support" im Browser auf "true" gestellt werden, was normalerweise deaktiviert ist. Nach Angaben von Michael Krax würden einige XUL-Seiten eine entsprechende Änderung in den Einstellungen empfehlen.

Screenshot #5
Screenshot #5
Nach Angaben von Michael Krax hat er das Mozilla-Team bereits Mitte September 2004 - vor mehr als drei Monaten und damit lange vor Firefox 1.0 - über das Problem informiert, ohne dass das Sicherheitsleck bislang behoben wurde. Er hatte eigentlich die Hoffnung, dass das Mozilla-Team das Sicherheitsloch bis zur 1.0er-Version von Firefox beseitigen werde.

Der Fehler wurde für Mozilla 1.7.5 und Firefox 1.0 bestätigt. Deaktiviert man JavaScript im Browser, lässt sich das Sicherheitsloch nicht ausnutzen. Ein Patch zur Abhilfe ist weder für Mozilla noch für Firefox erhältlich. Als Workaround kann man in den JavaScript-Optionen den Punkt "Fenster vor oder hintere andere Fenster legen" deaktivieren, was standardmäßig aktiviert ist.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 22,99€
  2. (-82%) 11,00€
  3. (u. a. Rage 2 für 11€, The Elder Scrolls V: Skyrim Special Edition für 11,99€, Doom Eternal...

Elrond 25. Jan 2005

Ein User der auf dieses Sicherheitsloch reinfällt ist nicht in der Lage Firefox zu...

Michael - alt 18. Jan 2005

Bei Dir weiß ich das auch nie..... Klingt immer alles so hilflos....

kische40 14. Jan 2005

??? Wo hab ich was von Linux geschrieben? Unterbelichtet bist Du also nicht nur in...

Chuck 13. Jan 2005

Da hast du verdammt noch mal recht!

Mario 13. Jan 2005

Hallo Ingo Tja, dann macht es Opera 8 wohl anders. Ändern tut das aber alles nichts. Eine...


Folgen Sie uns
       


Watch Dogs Legion angespielt

Mit Legion bekommt die Serie Watch Dogs eine dritte Chance von Ubisoft. Schauplatz ist London nach dem Brexit, eine korrupte Regierung und Banden unterdrücken die Bevölkerung, die sich allerdings wehrt. Wichtigste Neuerung gegenüber den Vorgängern: Spieler können Passanten für den Widerstand rekrutieren.

Watch Dogs Legion angespielt Video aufrufen
Ryzen Pro 4750G/4650G im Test: Die mit Abstand besten Desktop-APUs
Ryzen Pro 4750G/4650G im Test
Die mit Abstand besten Desktop-APUs

Acht CPU-Kerne und flotte integrierte Grafik: AMDs Renoir verbindet Zen und Vega überzeugend in einem Chip.
Ein Test von Marc Sauter

  1. Ryzen 4000 (Vermeer) "Zen 3 erscheint wie geplant 2020"
  2. Matisse Refresh (MTS2) AMDs Ryzen 3000XT nutzen extra Takt
  3. Ryzen HPs Gaming-Notebook lässt die Wahl zwischen AMD und Intel

Mars 2020: Was ist neu am Marsrover Perseverance?
Mars 2020
Was ist neu am Marsrover Perseverance?

Er hat 2,5 Milliarden US-Dollar gekostet und sieht genauso aus wie Curiosity. Einiges ist dennoch neu, manches auch nur Spielzeug.
Von Frank Wunderlich-Pfeiffer


    MS Flight Simulator angespielt: Airbus 320neo mit Tastatur gesteuert
    MS Flight Simulator angespielt
    Airbus 320neo mit Tastatur gesteuert

    Wie fliegt sich der Airbus 320neo? Golem.de hat es am PC ausprobiert - und von den Entwicklern mehr über den Flight Simulator erfahren.
    Von Peter Steinlechner

    1. Microsoft Flight Simulator startet auf Steam und fliegt mit Valve-VR
    2. Microsoft Flight Simulator enthält eigenen Marktplatz
    3. Aerosoft MS Flight Simulator kommt auf 10 DVDs in den Handel

      •  /