Firefox mit Spoofing-Schwachstelle

Aviv Raff, ein israelischer Sicherheitsexperte, hat eine Schwachstelle von Firefox bei der Darstellung von Authentifizierungs-Dialogen entdeckt, die es Pishern ermöglicht an die Anmeldedaten von Anwendern zu gelangen. Mit der Basic Authentication läßt sich der Zugriff auf Webseiten beschränken. Notwendig sind die Eingabe des Usernamens und Passwortes in eine Dialogbox. Diese enthält den Namen der anfordernden Instanz, dem so genannten Realm, und den Webserver von dem die Authentifizierungsaufforderung kommt. Die Auswertung und Anzeige des Realms scheint eine Schwäche von Firefox zu sein. Laut Raff läßt sich mit Single Quotes und Spaces ein Dialog darstellen, der dem Anwender vorgaukelt, von einer ihm vertrauten Seite zu stammen, obwohl er von einer Phishing-Seite stammt. Auf seiner Website hat der Sicherheitsexperte eine Videodatei (WMV-Datei) hinterlegt, die das Problem demonstriert. Damit ein Angriff Erfolg hat, muss das Opfer einem präparierten Link auf eine bösartigen Webseite folgen, dies ist allerdings nicht ohne weiteres offensichtlich. Jedoch sollten potentielle Opfer bei der veränderten Art des Logins mißtrauisch werden. Von dem Fehler sind Firefox 2.0.0.11 und wahrscheinlich vorherige Versionen betroffen. Möglicherweise enthalten auch andere Mozilla-Produkte diese Sicherheitslücke. Da es noch kein Update gibt, empfiehlt Raff, keine Anmeldedaten in den genannten Dialogen einzugeben.

0 Kommentar(e)

Zum Posten von Kommentaren bitte