Abo
  • Services:

Monate altes Sicherheitsleck in Mozilla und Firefox

Popup-Fenster kann Download-Dialog und Sicherheitshinweise verdecken

Der Sicherheitsspezialist Michael Krax berichtet über eine Sicherheitslücke in Mozilla und Firefox, worüber Angreifer Daten auf den Rechner anderer Nutzer schleusen können, indem Popup-Fenster andere Dialoge überdecken. Das Sicherheitsloch steckt auch im Internet Explorer, stellt hier allerdings ein geringeres Risiko dar.

Artikel veröffentlicht am ,

Screenshot #1
Screenshot #1
Über das jetzt bekannt gewordene Sicherheitsloch in Mozilla und Firefox lassen sich Download-Dialoge teilweise durch ein Popup-Fenster verdecken, um Anwender so zum Download von Dateien zu verleiten. Im Glauben, einen Popup-Fenster-Dialog zu bestätigen, wird so etwa eine Programmdatei auf den Rechner geladen oder je nach Einstellungen und Dateityp auch gleich ausgeführt.

Stellenmarkt
  1. Bosch Gruppe, Dresden
  2. Techem GmbH, Eschborn

Screenshot #2
Screenshot #2
Aus Sicherheitsgründen dürfte ein Popup-Fenster eigentlich keine Dialogboxen verdecken, um die hier beschriebenen Manipulationen zu verhindern. Michael Krax hat Demos bereitgestellt, welche die Arbeitsweise des Sicherheitslochs zeigen. Wie Screenshot #1 illustriert, wird das Popup-Fenster in der Standardkonfiguration direkt über einen Firefox-Download-Dialog gelegt, so dass es den Anschein erweckt, die beiden Knöpfe "OK" und "Abbrechen" gehören zum Popup-Fenster.

Screenshot #3
Screenshot #3
Prinzipiell steckt das Sicherheitsleck auch im Internet Explorer, allerdings lässt sich ein Anwender darüber nicht so ohne weiteres austricksen, weil die Download-Knöpfe von Microsofts Browser anders beschriftet sind. Siehe dazu Screenshot #3. Der Opera-Browser verhält sich in dem geschilderten Fall, wie es aus Sicherheitsgründen empfohlen wird: Das Verdecken des Download-Dialogs ist nicht möglich, so dass der Dialog immer nach vorne springt.

Screenshot #4
Screenshot #4
Über das Sicherheitsloch lassen sich auch Sicherheitsdialoge in Mozilla oder Firefox durch ein Popup-Fenster verdecken. Allerdings muss dazu die Konfigurationseinstellung "signed.applets.codebase_principal_support" im Browser auf "true" gestellt werden, was normalerweise deaktiviert ist. Nach Angaben von Michael Krax würden einige XUL-Seiten eine entsprechende Änderung in den Einstellungen empfehlen.

Screenshot #5
Screenshot #5
Nach Angaben von Michael Krax hat er das Mozilla-Team bereits Mitte September 2004 - vor mehr als drei Monaten und damit lange vor Firefox 1.0 - über das Problem informiert, ohne dass das Sicherheitsleck bislang behoben wurde. Er hatte eigentlich die Hoffnung, dass das Mozilla-Team das Sicherheitsloch bis zur 1.0er-Version von Firefox beseitigen werde.

Der Fehler wurde für Mozilla 1.7.5 und Firefox 1.0 bestätigt. Deaktiviert man JavaScript im Browser, lässt sich das Sicherheitsloch nicht ausnutzen. Ein Patch zur Abhilfe ist weder für Mozilla noch für Firefox erhältlich. Als Workaround kann man in den JavaScript-Optionen den Punkt "Fenster vor oder hintere andere Fenster legen" deaktivieren, was standardmäßig aktiviert ist.



Anzeige
Top-Angebote
  1. (u. a. Window Silver für 99,90€ + Versand)
  2. 87,99€ + Versand (Vergleichspreis ca. 101€ + Versand)
  3. (u. a. Nokia 8 Sirocco für 349€ und HTC U12 Life Dual-SIM für 199€)

Elrond 25. Jan 2005

Ein User der auf dieses Sicherheitsloch reinfällt ist nicht in der Lage Firefox zu...

Michael - alt 18. Jan 2005

Bei Dir weiß ich das auch nie..... Klingt immer alles so hilflos....

kische40 14. Jan 2005

??? Wo hab ich was von Linux geschrieben? Unterbelichtet bist Du also nicht nur in...

Chuck 13. Jan 2005

Da hast du verdammt noch mal recht!

Mario 13. Jan 2005

Hallo Ingo Tja, dann macht es Opera 8 wohl anders. Ändern tut das aber alles nichts. Eine...


Folgen Sie uns
       


LG 5K2K (34WK95U) Ultrawide - Fazit

Der aktuelle Ultrawide von LG hat eine beeindruckend hohe Auflösung und eignet sich wunderbar für Streamer oder die Videobearbeitung.

LG 5K2K (34WK95U) Ultrawide - Fazit Video aufrufen
Varjo VR-Headset im Hands on: Schärfer geht Virtual Reality kaum
Varjo VR-Headset im Hands on
Schärfer geht Virtual Reality kaum

Das VR-Headset mit dem scharfen Sichtfeld ist fertig: Das Varjo VR-1 hat ein hochauflösendes zweites Display, das ins Blickzentrum des Nutzers gespiegelt wird. Zwar sind nicht alle geplanten Funktionen rechtzeitig fertig geworden, die erreichte Bildschärfe und das Eyetracking sind aber beeindruckend - wie auch der Preis.
Ein Hands on von Tobias Költzsch

  1. Und täglich grüßt das Murmeltier Sony bringt VR-Spiel zu Kultfilm mit Bill Murray
  2. Steam Hardware Virtual Reality wächst langsam - aber stetig
  3. AntVR Stirnband soll Motion Sickness in VR verhindern

Oldtimer umrüsten: Happy End mit Elektromotor
Oldtimer umrüsten
Happy End mit Elektromotor

Verbotszonen könnten die freie Fahrt von Oldtimern einschränken. Aber auch Umweltschutzgründe und Exzentrik führen dazu, dass immer mehr Sammler ihre liebsten Fahrzeuge umrüsten.
Ein Bericht von Dirk Kunde

  1. Piëch Mark Zero Porsche-Nachfahre baut eigenen E-Sportwagen
  2. Elektroautos Sportversion des E.Go Life und Shuttle E.Go Lux
  3. Rivian Amazon investiert in Elektropickups

Digitaler Hausfriedensbruch: Bund warnt vor Verschärfung der Hackerparagrafen
Digitaler Hausfriedensbruch
Bund warnt vor Verschärfung der Hackerparagrafen

Ein Jahr Haft für das unbefugte Einschalten eines smarten Fernsehers? Unions-Politiker aus den Bundesländern überbieten sich gerade mit Forderungen, die Strafen für Hacker zu erhöhen und den Ermittlern mehr Befugnisse zu erteilen. Doch da will die Bundesregierung nicht mitmachen.
Von Friedhelm Greis

  1. Runc Sicherheitslücke ermöglicht Übernahme von Container-Host
  2. Security Metasploit 5.0 verbessert Datenbank und Automatisierungs-API
  3. Datenbank Fehler in SQLite ermöglichte Codeausführung

    •  /