Edge und Safari: Adressleiste reagiert nicht auf Spoofing-Angriffe
Bei den bisherigen Versionen der Browser Edge und Safari konnten Betrüger den Nutzern Inhalte von anderen Servern unterschieben, ohne dass dies anhand einer Veränderung in der Adresszeile erkennbar geworden wäre. Das Problem kann so beispielsweise missbraucht werden, um Login-Daten zu stehlen.
Ein Angriff auf Grundlage der Schwachstelle würde so funktionieren, dass ein Angreifer an einem bestimmten Punkt in den Ladevorgang einer Webseite eingreift und einfach anderen Code heranzieht. Da sich der Inhalt in der Adresszeile dabei nicht ändert, wäre dies für den User kaum zu erkennen. Denkbar wäre ein solches Vorgehen beispielsweise, indem Login-Formulare verbreiteter Dienste nachgebildet werden, bei denen es recht wahrscheinlich ist, dass der User auf diese zugreift.
Sieht richtig aus, ist aber eine gefälsche Seite.
Das Kernproblem für den Angreifer besteht darin, an den Lade-Prozess heranzukommen. Das ist auf mehreren Wegen denkbar - etwa durch einen Zugriff auf den Webserver, einen Man-in-the-Middle-Zugang zu einer unverschlüsselten Übertragung oder auch über ein manipuliertes Browser-Plugin.
Auf YouTube ansehen
Baloch hatte Microsoft und Apple am 2. Juni über seine Erkenntnisse informiert und machte sie nun auch für die Allgemeinheit zugänglich. Microsoft hat am letzten Patch-Day auch eine Fehlerkorrektur für seinen Browser bereitgestellt. Apple hingegen lässt seine Nutzer noch warten. Der Sicherheitsforscher will daher den Code, mit dem er seine Test-Attacken durchführte, vorerst noch unter Verschluss halten.
Siehe auch: Microsoft erweitert das Bug Bounty Programm für den Webbrowser Edge
Sieht richtig aus, ist aber eine gefälsche Seite.
Das Kernproblem für den Angreifer besteht darin, an den Lade-Prozess heranzukommen. Das ist auf mehreren Wegen denkbar - etwa durch einen Zugriff auf den Webserver, einen Man-in-the-Middle-Zugang zu einer unverschlüsselten Übertragung oder auch über ein manipuliertes Browser-Plugin.
Auf YouTube ansehenMicrosoft hat schon einen Patch
Der Sicherheitsforscher Rafay Baloch, der das Problem entdeckte, kann nicht abschließend erklären, warum ein solcher Angriff in Edge und Safari möglich ist, in Chrome und Firefox hingegen nicht. Er vermutet den Auslöser aber an der Stelle, an der eine Aktualisierung der Adresszeile angestoßen wird. Es kann sein, dass die anderen Browser hier schlicht früher auf neue Ereignisse beim Rendering reagieren.Baloch hatte Microsoft und Apple am 2. Juni über seine Erkenntnisse informiert und machte sie nun auch für die Allgemeinheit zugänglich. Microsoft hat am letzten Patch-Day auch eine Fehlerkorrektur für seinen Browser bereitgestellt. Apple hingegen lässt seine Nutzer noch warten. Der Sicherheitsforscher will daher den Code, mit dem er seine Test-Attacken durchführte, vorerst noch unter Verschluss halten.
Siehe auch: Microsoft erweitert das Bug Bounty Programm für den Webbrowser Edge
Thema:
Apples Aktienkurs in Euro
Videos von und über Apple
-
Pixel 10 vs. iPhone 17e: Die beiden Budget-Premiumgeräte im Vergleich
-
iPadOS 27: Erste Blicke auf Apples neues Tablet-Betriebssystem
-
Silo: Apple zeigt den offiziellen Trailer zu Staffel 3 der Sci-Fi-Serie
-
Tipps zum Tablet: Nützliches Zubehör für iPad 10 und iPad 11 im Test
-
Getestet: Wie stark unterscheiden sich MacBook Neo und MacBook Pro?
Neue Downloads zum Thema Apple
Beiträge aus dem Forum
-
Wie alt sollte ein MacBook höchstens sein?
MiezMau -
Virtuellen PDF Drucker auf Macbook installieren - wie ?
Sonnenschein11 -
AppleTV
MiezMau -
Surfstick für MacBook Air mit Sonoma 14
landbastler -
iPhone 13 + Smartwatch (keine Apple Watch)
Bilaltore -
Win-Viren am Mac prüfen?
mondayand0 -
IPhone Ortung verhindern.
PC.Nutzer -
Kontextmenu bearbeiten
Brutschi -
Office 2019 MAC Problem
MiyaGi -
Windows Computer vergleichbar Apple M1 Mini
Lewio82
Weiterführende Links
iPhone 17 Pro im Preisvergleich
Ku-trade 
Afbshop 
Netto Marken-Discount Neue Nachrichten
- Netflix erschwert Account-Sharing: Neue E-Mail-Pflicht fürs Profil startet
- Edge-Update: Microsoft streicht plötzlich wieder KI-Funktion
- FritzOS 8.24: Neues Labor-Update für Top-FritzBox-Router steht bereit
- Notebooksbilliger: Angebote der Woche stark reduziert
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- Nach Bahn-Chaos: Verbot von chinesischer Technik in Diskussion
- MacBook Pro mit Touch: Apple setzt auf neues Design & alte CPUs
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen