Abo
  • Services:

Monate altes Sicherheitsleck in Mozilla und Firefox

Popup-Fenster kann Download-Dialog und Sicherheitshinweise verdecken

Der Sicherheitsspezialist Michael Krax berichtet über eine Sicherheitslücke in Mozilla und Firefox, worüber Angreifer Daten auf den Rechner anderer Nutzer schleusen können, indem Popup-Fenster andere Dialoge überdecken. Das Sicherheitsloch steckt auch im Internet Explorer, stellt hier allerdings ein geringeres Risiko dar.

Artikel veröffentlicht am ,

Screenshot #1
Screenshot #1
Über das jetzt bekannt gewordene Sicherheitsloch in Mozilla und Firefox lassen sich Download-Dialoge teilweise durch ein Popup-Fenster verdecken, um Anwender so zum Download von Dateien zu verleiten. Im Glauben, einen Popup-Fenster-Dialog zu bestätigen, wird so etwa eine Programmdatei auf den Rechner geladen oder je nach Einstellungen und Dateityp auch gleich ausgeführt.

Stellenmarkt
  1. SCHOTT AG, Mainz
  2. Robert Bosch GmbH, Böblingen

Screenshot #2
Screenshot #2
Aus Sicherheitsgründen dürfte ein Popup-Fenster eigentlich keine Dialogboxen verdecken, um die hier beschriebenen Manipulationen zu verhindern. Michael Krax hat Demos bereitgestellt, welche die Arbeitsweise des Sicherheitslochs zeigen. Wie Screenshot #1 illustriert, wird das Popup-Fenster in der Standardkonfiguration direkt über einen Firefox-Download-Dialog gelegt, so dass es den Anschein erweckt, die beiden Knöpfe "OK" und "Abbrechen" gehören zum Popup-Fenster.

Screenshot #3
Screenshot #3
Prinzipiell steckt das Sicherheitsleck auch im Internet Explorer, allerdings lässt sich ein Anwender darüber nicht so ohne weiteres austricksen, weil die Download-Knöpfe von Microsofts Browser anders beschriftet sind. Siehe dazu Screenshot #3. Der Opera-Browser verhält sich in dem geschilderten Fall, wie es aus Sicherheitsgründen empfohlen wird: Das Verdecken des Download-Dialogs ist nicht möglich, so dass der Dialog immer nach vorne springt.

Screenshot #4
Screenshot #4
Über das Sicherheitsloch lassen sich auch Sicherheitsdialoge in Mozilla oder Firefox durch ein Popup-Fenster verdecken. Allerdings muss dazu die Konfigurationseinstellung "signed.applets.codebase_principal_support" im Browser auf "true" gestellt werden, was normalerweise deaktiviert ist. Nach Angaben von Michael Krax würden einige XUL-Seiten eine entsprechende Änderung in den Einstellungen empfehlen.

Screenshot #5
Screenshot #5
Nach Angaben von Michael Krax hat er das Mozilla-Team bereits Mitte September 2004 - vor mehr als drei Monaten und damit lange vor Firefox 1.0 - über das Problem informiert, ohne dass das Sicherheitsleck bislang behoben wurde. Er hatte eigentlich die Hoffnung, dass das Mozilla-Team das Sicherheitsloch bis zur 1.0er-Version von Firefox beseitigen werde.

Der Fehler wurde für Mozilla 1.7.5 und Firefox 1.0 bestätigt. Deaktiviert man JavaScript im Browser, lässt sich das Sicherheitsloch nicht ausnutzen. Ein Patch zur Abhilfe ist weder für Mozilla noch für Firefox erhältlich. Als Workaround kann man in den JavaScript-Optionen den Punkt "Fenster vor oder hintere andere Fenster legen" deaktivieren, was standardmäßig aktiviert ist.



Anzeige
Blu-ray-Angebote
  1. (2 Monate Sky Ticket für nur 4,99€)
  2. 4,99€
  3. (u. a. Der Marsianer, Spaceballs, Titanic, Batman v Superman)

Elrond 25. Jan 2005

Ein User der auf dieses Sicherheitsloch reinfällt ist nicht in der Lage Firefox zu...

Michael - alt 18. Jan 2005

Bei Dir weiß ich das auch nie..... Klingt immer alles so hilflos....

kische40 14. Jan 2005

??? Wo hab ich was von Linux geschrieben? Unterbelichtet bist Du also nicht nur in...

Chuck 13. Jan 2005

Da hast du verdammt noch mal recht!

Mario 13. Jan 2005

Hallo Ingo Tja, dann macht es Opera 8 wohl anders. Ändern tut das aber alles nichts. Eine...


Folgen Sie uns
       


Sony Xperia XZ2 Compact - Test

Sony hat wieder ein Oberklasse-Smartphone geschrumpft: Das Xperia XZ2 Compact hat leistungsfähige Hardware, eine bessere Kamera und passt bequem in eine Hosentasche.

Sony Xperia XZ2 Compact - Test Video aufrufen
Klimaschutz: Unter der Erde ist das Kohlendioxid gut aufgehoben
Klimaschutz
Unter der Erde ist das Kohlendioxid gut aufgehoben

Die Kohlendioxid-Emissionen steigen und steigen. Die auf der UN-Klimakonferenz in Paris vereinbarten Ziele sind so kaum zu schaffen. Fachleute fordern daher den Einsatz von Techniken, die Kohlendioxid in Kraftwerken abscheiden oder sogar aus der Luft filtern.
Ein Bericht von Daniel Hautmann

  1. Physik Maserlicht aus Diamant
  2. Xiaoice und Zo Microsoft erforscht menschlicher wirkende Sprachchat-KIs
  3. Hyperschallgeschwindigkeit Projektil schießt sich durch den Boden

NUC8i7HVK (Hades Canyon) im Test: Intels Monster-Mini mit Radeon-Grafikeinheit
NUC8i7HVK (Hades Canyon) im Test
Intels Monster-Mini mit Radeon-Grafikeinheit

Unter dem leuchtenden Schädel steckt der bisher schnellste NUC: Der buchgroße Hades Canyon kombiniert einen Intel-Quadcore mit AMDs Vega-GPU und strotzt förmlich vor Anschlüssen. Obendrein ist er recht leise und eignet sich für VR - selten hat uns ein System so gut gefallen.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Crimson Canyon Intel plant weiteren Mini-PC mit Radeon-Grafik
  2. NUC7CJYS und NUC7PJYH Intel bringt Atom-betriebene Mini-PCs
  3. NUC8 Intels Mini-PC hat mächtig viel Leistung

Grenzenloser Datenzugriff: Was der Cloud-Act für EU-Bürger bedeutet
Grenzenloser Datenzugriff
Was der Cloud-Act für EU-Bürger bedeutet

Neue Gesetze in den USA und der EU könnten den Weg für einen ungehinderten und schnellen weltweiten Datenzugriff von Ermittlungsbehörden ebnen. Datenschützer und IT-Wirtschaft sehen die Pläne jedoch sehr kritisch.
Ein Bericht von Friedhelm Greis

  1. Kontoeröffnung Kleinganoven, überforderte Hotlines und ein einfaches Konto
  2. Elektronische Beweise EU-Kommission fordert weltweiten Zugriff auf Daten
  3. Panera Bread Café-Kette exponiert Millionen Kundendaten im Netz

    •  /