Mozilla-Team stopft weitere SSL-Lücke

Das Mozilla-Team hat einen Patch für eine von Emmanoul Kellis gemeldete Sicherheitslücke entwickelt. Sie ermöglicht es, mit Mozilla/Firefox Inhalte einer beliebigen Webseite im Kontext eines fremden Zertifikats anzuzeigen. Das in der Statusbar des Webbrowsers angezeigte Schloss wird normalerweise nur als geschlossen angezeigt, wenn ein gültiges Zertifikat für die Seite vorliegt und alle dargestellten Inhalte auch exklusiv von diesem Server stammen. Werden andere, von nicht zertifizierten Seiten stammende Inhalte eingebettet (beispielsweise mit einem Frame), sollte das Schloss durchgestrichen sein, um den Anwender darauf hinzuweisen.

Über einen Trick, der auf einem Caching-Problem in Mozilla beruht, ist es jedoch möglich, beliebige andere Seiten im Kontext von gesicherten SSL-Seiten anzeigen zu lassen, ohne dass sich das Schloss verändert -- dem Nutzer wird eine gesicherte Verbindung vorgekaukelt, die aber gar nicht besteht. Allerdings wird in der Addresszeile dann auch die URL der externen Seite angezeigt, was das Problem abschwächt. Dennoch kann dieser Fehler gefährlicher werden, wenn er in Kombination mit Adresszeilen-Spoofing verwendet wird. Die Mozilla-Entwickler haben bereits Patches entwickelt, die über Bugzilla zur Verfügung stehen, sie sind aber in den Vollversionen der Websuite beziehungsweise von Firefox momentan noch nicht implementiert. (pab)