Schwachstelle in Firefox/Mozilla ermöglicht Fälschen von Dialogfenstern
Durch eine Schwachstelle in Firefox und Mozilla ist es möglich, Teile von Download- und Sicherheitsdialogen mit präparierten Pop-up-Fenstern zu verdecken. Anwender könnten so fälschlicherweise Aktionen zustimmen, die etwa Dateien laden und starten.
Durch eine Schwachstelle in Firefox und Mozilla unter Windows ist es möglich, Teile von Download- und Sicherheitsdialogen mit präparierten Pop-up-Fenstern zu verdecken. Die durch Javascripte geöffneten Fenster können den Anwender glauben lassen, er bestätige beispielsweise nur eine harmlose Lizenzvereinbarung. Der Klick auf "OK" kann dann allerdings eine Datei herunterladen, die abhängig von der Verknüpfung automatisch ausgeführt beziehungsweise geöffnet wird.
Der Sicherheitsspezialist Michael Krax hat zu der Schwachstelle auf seinen Seiten nun zwei Demos zur Verfügung gestellt. Eine davon erfordert aber das Anschalten eines Features (signed.applets.codebase_principal_support), das normalerweise deaktiviert ist. Laut Advisory würden aber viele XUL-Seiten dies empfehlen. Durch XUL (XML User Interface Language ) können Anwender Plug-ins zur Erweiterung der Funktionen von Mozilla und Firefox hinzufügen.
Aus Sicherheitsgründen sollten per Skript geöffnete Fenster keine Dialogfenster abdecken können. Microsoft hat mit XP-Service-Pack-2 Funktionen in den Internet Explorer implementiert, die genau dies verhindern sollen. Bei Firefox gibt es die Option dom.disable_window_flip, die Ähnliches leistet -- allerdings ist sie standardmäßig deaktiviert. Nach Angaben von Krax haben die Entwickler das Problem bereits vor mehr als drei Monaten bestätigt, danach aber nicht mehr reagiert und den Fehler auch nicht beseitigt.
Siehe dazu auch: (dab)
- Security Advisory: Firespoofing von Michael Krax
