Firefox mit Anti-Clickjacking-Unterstützung

Firefox 3.6.9 unterstützt einen Server-Header, mit dem sich Clickjacking verhindern lässt. Zudem schließt die Version 14 Lücken, unter anderem auch die DLL-Lücke in der Windows-Version.

In Pocket speichern vorlesen Druckansicht 94 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Daniel Bachfeld

Firefox 3.6.9 unterstützt den X-FRAME-OPTIONS-Header, mit dem Webserver dem Client verbieten können, nachgeladene Seiten in IFrames zu öffnen. Beim Clickjacking schiebt die Webseite eines Angreifers einen durchsichtigen iFrame mit Inhalten von beispielsweise Facebook unter den Mauszeiger. Im Glauben, etwas auf der angezeigten Seite anzuklicken, klickt der Anwender jedoch auf Elemente in einem durchsichtigen, zu Facebook gehörenden iFrame.

Mitte des Jahres fielen mehrere hundertausend Facebook-Anwender einer Clickjacking-Attacke zum Opfer, als sie auf einer präparierten Seite unbewußt auf einen versteckten "Gefällt mir"-Button ("Like") geklickt hatten. Durch die neue Option könnte Facebook künftig bei Firefox-Anwendern verhindern, dass ein Angreifer Inhalte in einem IFrame laden kann. Allerdings unterstützen bereits der Internet Explorer 8, Safari, Opera und Chrome die Option – und trotzdem nutzt Facebook die Option (noch) nicht. Testen kann man die Anti-Clickjacking-Funktion hier .

Firefox 3.6.9 schließt zudem mehr als 14 Sicherheitslücken, wovon die Entwickler mindestend 10 als kritisch einstufen. Dazu gehört neben Integer und Heap Overflows sowie verwaisten Zeigern auch die Schwachstelle beim Nachladen von DLLs über das Netz für die Windows-Version von Firefox. Daneben sind auch Firefox 3.5.12, Thunderbird 3.1.3, Thunderbird 3.0.7 und SeaMonkey 2.0.7 erschienen, in denen dieselben Lücken geschlossen wurden. (dab)