Spoofing-Schwachstelle in Firefox

Phisher können einen Designfehler im Firefox-Browser ausnutzen, um vor Anwendern die wahre Herkunft einer Seite zu verschleiern.

In Pocket speichern vorlesen Druckansicht 220 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Daniel Bachfeld

Phisher können einen Designfehler im Firefox-Browser ausnutzen, um vor Anwendern die wahre Herkunft einer Seite zu verschleiern. Auf diese Weise lassen sich etwa äußerst täuschend echt gemachte Seiten von Banken, eBay, PayPal und anderen Dienstleistern ins Netz stellen (Spoofing). Der Spezialist für Browsersicherheit Michal Zalewski hat zur Demonstration eine Seite zur Verfügung gestellt, auf der Interessierte das Problem nachvollziehen können. Die Demo funktioniert mit Firefox 1.5 und 2.0.

Laut Zalewski liegt das Problem im Umgang des Firefox mit der URL about:blank, die eine leere Seite öffnet. Dabei zeigt der Browser weder eine URL in der Adresszeile noch eine Information in der Titelzeile des Fensters an. Auch JavaScripts können solch eine Seite öffnen. Allerdings lassen sich über diverse JavaScript-Funktion weitere Inhalte in die Seite einbauen. Zwar ist dies für Fenster, die aus unterschiedlichen Domains stammen, normalerweise nicht möglich. Da aber about:blank gar keiner Domain zugeordnet und die document.location nicht definiert ist, funktioniert es trotzdem. Auch ein nach Angaben von Zalewski älterer Spoofing-Fehler lässt sich in Firefox so wieder erneut ausnutzen.

Abhilfe dürfte derzeit nur das Abschalten von JavaScript oder der Einsatz des FF-Plug-ins NoScript bringen, das Scripting nur auf bekannten vertrauenswürdigen Seiten erlaubt.

Siehe dazu auch:

(dab)