Neue Sicherheitslücke in Firefox & Internet Explorer

Software Im Fehlermeldesystem Bugzilla von Mozilla wird von einer neuen Sicherheitslücke im freien Browser Firefox berichtet, die offenbar auch den Internet Explorer in der Version 6 betrifft. Dabei wird die Funktion zum Abspeichern von Zugangsdaten ausgenutzt. Offenbar können Passwörter und Benutzernamen auch von Webseiten ausgelesen werden, für deren Besuch zwar eine Eingabe erforderlich ist, für die sie aber nicht gelten. Mittlerweile wurde eine Beispielseite für Firefox 2.0 veröffentlicht, die demonstriert, wie das Ganze funktioniert.

Die Entwickler von Firefox sind bereits informiert, bisher gibt es aber noch kein Update, das das Problem behebt. Für die Beseitigung der Schwachstelle soll auch die Mitarbeit des Teams nötig sein, das für die Benutzeroberfläche zuständig ist. Dadurch könnte sich die Bereitstellung eines Patches hinziehen.

Bisher ist die einzige Lösung, die Funktion zum Speichern von Zugangsdaten von Webseiten nicht zu benutzen. Sie lässt sich über die Sicherheitseinstellungen des Browsers abschalten. Die Entdecker der Lücke bezeichnen das Prinzip des Angriffs als Reverse Cross-Site Request. Microsoft hat sich zu dem Problem bisher noch nicht geäussert.

Bei dem so genannten Reverse Cross-Site Request wird von einem Angreifer ausgenutzt, dass die Passwort-Manager von Firefox und Internet Explorer vor dem Ausfüllen eines Passwortformulars nicht überprüfen, wohin die Daten mit Hilfe des Action-Tags eines Formulars gesendet werden.

Stattdessen werden die Felder automatisch ausgefüllt, wenn die Adresse der Webseite übereinstimmt. Dadurch wird es durch die Einschleusung eines entsprechend präparierten Forumulars möglich, die Zugangdaten für die der Benutzer infizierte Webseite an einen beliebigen Server zu senden. Dies kann auch unsichtbar und vom Benutzer völlig unbemerkt geschehen.

Ein entsprechender Angriff ist auf allen Webseiten möglich, die HTML-Formulare ungeprüft aus Benutzereingaben auf der Webseite ausgeben.

Weitere Informationen: Bugzilla
Diese Nachricht empfehlen
Kommentieren77
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 12:00 Uhr Guleek I8ii Taschen Wintel Mini PC Desktop Computer TV Box Microsoft Windows 10 XBMC Media Player mit Metallgehäuse Intel Atom Z3735f Quad-Core-CPU 2gb Ddr3 32 GB eMMC 2.4 & 5,8GHz Wifi Bluetooth 4.0 eingebaute Batterie
Guleek I8ii Taschen Wintel Mini PC Desktop Computer TV Box Microsoft Windows 10 XBMC Media Player mit Metallgehäuse Intel Atom Z3735f Quad-Core-CPU 2gb Ddr3 32 GB eMMC 2.4 & 5,8GHz Wifi Bluetooth 4.0 eingebaute Batterie
Original Amazon-Preis
99,99
Im Preisvergleich ab
?
Blitzangebot-Preis
79,59
Ersparnis zu Amazon 20% oder 20,40
Nur bei Amazon erhältlich

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles

Tipp einsenden