Original-URL des Artikels: https://www.golem.de/0407/32131.html    Veröffentlicht: 02.07.2004 10:37    Kurz-URL: https://glm.io/32131

Cross-Domain-Sicherheitslücke in fast allen Browsern

Netscape, Mozilla, Firefox, Opera, Safari, Konqueror und IE betroffen

Nach einem Beitrag auf der Sicherheitsseite Secunia.com befindet sich die Sicherheitslücke zur Verhinderung von Cross-Domain-Zugriffen nicht nur wie zunächst angenommen im aktuellen Internet Explorer, sondern wurde in den meisten aktuellen Browsern entdeckt. Das Sicherheitsleck erlaubt es Angreifern, bei mehr als einem geöffneten Browser-Fenster gefälschte Inhalte in einer Frame-Seite anzuzeigen und dem Nutzer so eine andere Herkunft der Daten vorzugaukeln.

Die vor wenigen Tagen berichtete Sicherheitslücke schien zunächst nur den Internet Explorer in der aktuellen Version und nur die Windows-Ausführung zu betreffen. Nun hat Secunia in Erfahrung gebracht, dass auch die Browser Netscape, Mozilla, Firefox, Opera, Safari, Konqueror sowie der Internet Explorer auf den verfügbaren Plattformen von dem Problem betroffen sind. Einzig Mozilla 1.7 sowie Firefox ab der Version 0.9 weisen diese Sicherheitslücke nicht mehr auf. Für die übrigen Browser werden derzeit keine Patches angeboten.

Das Sicherheitsloch beim Umgang mit Cross-Domain-Daten erlaubt es einer Webseite, Daten in einem anderen geöffneten Browser-Fenster einzuschleusen, ohne dass der Nutzer die wahre Herkunft der Daten erkennt. Derartiger Fremdzugriff auf andere Browser-Fenster sollte eigentlich nicht möglich sein. Als Szenario könnte ein Angreifer etwa Bankverbindungen abfragen, indem dem Nutzer vorgegaukelt wird, die Daten würden an einen vertrauenswürdigen Online-Shop übermittelt. Als Abhilfe empfiehlt es sich, bei der Übermittlung sensitiver Daten nur mit einem geöffneten Browser-Fenster zu arbeiten, so dass die Sicherheitslücke nicht ausgenutzt werden kann.  (ip)


Verwandte Artikel:
Wir können auch anders: Microsoft patcht Internet Explorer   
(02.07.2004, https://glm.io/32140 )
Sicherheitslücke in KDE   
(18.05.2004, https://glm.io/31341 )
Sicherheitslücke verschleiert Dateiendung im Opera-Browser   
(12.02.2004, https://glm.io/29723 )
Mozilla: Neue Thunderbird-Version behebt Abstürze unter Windows   
(28.12.2017, https://glm.io/131880 )
PGP im Browser: Posteo warnt vor Mailvelope mit Firefox   
(04.05.2017, https://glm.io/127643 )

Links zum Artikel:
Secunia (.com): http://www.secunia.com/

© 1997–2019 Golem.de, https://www.golem.de/