Neue Sicherheitslücke in Firefox & Internet Explorer

Im Fehlermeldesystem Bugzilla von Mozilla wird von einer neuen Sicherheitslücke im freien Browser Firefox berichtet, die offenbar auch den Internet Explorer in der Version 6 betrifft. Dabei wird die Funktion zum Abspeichern von Zugangsdaten ausgenutzt. Offenbar können Passwörter und Benutzernamen auch von Webseiten ausgelesen werden, für deren Besuch zwar eine Eingabe erforderlich ist, für die sie aber nicht gelten. Mittlerweile wurde eine Beispielseite für Firefox 2.0 veröffentlicht, die demonstriert, wie das Ganze funktioniert.

Die Entwickler von Firefox sind bereits informiert, bisher gibt es aber noch kein Update, das das Problem behebt. Für die Beseitigung der Schwachstelle soll auch die Mitarbeit des Teams nötig sein, das für die Benutzeroberfläche zuständig ist. Dadurch könnte sich die Bereitstellung eines Patches hinziehen.

Bisher ist die einzige Lösung, die Funktion zum Speichern von Zugangsdaten von Webseiten nicht zu benutzen. Sie lässt sich über die Sicherheitseinstellungen des Browsers abschalten. Die Entdecker der Lücke bezeichnen das Prinzip des Angriffs als Reverse Cross-Site Request. Microsoft hat sich zu dem Problem bisher noch nicht geäussert.

Bei dem so genannten Reverse Cross-Site Request wird von einem Angreifer ausgenutzt, dass die Passwort-Manager von Firefox und Internet Explorer vor dem Ausfüllen eines Passwortformulars nicht überprüfen, wohin die Daten mit Hilfe des Action-Tags eines Formulars gesendet werden.

Stattdessen werden die Felder automatisch ausgefüllt, wenn die Adresse der Webseite übereinstimmt. Dadurch wird es durch die Einschleusung eines entsprechend präparierten Forumulars möglich, die Zugangdaten für die der Benutzer infizierte Webseite an einen beliebigen Server zu senden. Dies kann auch unsichtbar und vom Benutzer völlig unbemerkt geschehen.

Ein entsprechender Angriff ist auf allen Webseiten möglich, die HTML-Formulare ungeprüft aus Benutzereingaben auf der Webseite ausgeben.

Weitere Informationen: Bugzilla