Lücke betrifft alle gängigen Browser [Update]
Eine bereits Mitte Juni entdeckte Lücke, die Man-in-the-Middle-Angriffe ermöglicht, betrifft offenbar nahezu alle gängigen Browser.
- Peter Siering
Mitte Juni gab es erste Berichte über eine Lücke, die Microsoft schon Anfang des Jahres entdeckt hatte. Sie soll Man-in-the-Middle-Angriffe auf HTTPS-Verbindungen zulassen. Das Mozilla-Projekt stufte das Risiko seinerzeit als hoch ein und versah seinen Browser mit entsprechenden Patches. Die Lücke betrifft, wie jetzt bekannt wurde, offenbar auch viele andere Browser.
Ein speziell präparierter Proxy kann HTML- und Skript-Code in den Kontext einer eigentlich gesicherten Seite einschleusen. Damit wäre der Identitäts-Diebstahl bei Cookie-basierter Authentifizierung oder auch das Verändern der angezeigten Daten möglich. Ein vor wenigen Tagen modifiziertes Advisory von SecurityFocus nennt jetzt auch Chrome, Opera, Safari und Internet Explorer als betroffene Produkte.
Update:
In Pretty-Bad-Proxy: An Overlooked Adversary in Browsers' HTTPS Deployments zeigen die Microsoft-Mitarbeiter Shuo Chen, Ziqing Mao, Yi-Min Wang und Ming Zhang, dass die Gefahren, die von einem bösartigen Proxy ausgehen können, bislang nicht ausreichend konsequent analysiert wurden. Sie beschreiben unter anderem mehrere Tricks, wie sich deshalb https-Verbindungen manipulieren lassen.
Ein Problem, von dem alle Browser betroffen waren, ist, dass Fehlermeldungen im Sicherheitskontext der aufgerufenen Seite ausgeführt werden. So könnte der Pretty-Bad-Proxy (PBP) die CONNECT-Anforderung zu https://myBank.com mit HTML- und Script-Code beantworten, die der Browser des Anwenders im Kontext der Banken-Seite ausführt. Ein Skript des PBP könnte dann beispielsweise die echte Bankenseite nachladen und gezielt manipulieren, weil der Browser ihm Zugriff auf dessen DOM gewährt.
Andere Probleme betreffen mögliche Redirects von nachgeladenen Skripten und Seiten, die eigentlich nicht für die https-Darstellung gedacht, aber über https-URLs erreichbar sind. Nach Aussagen der Autoren haben sie die Hersteller über die gefundenen Probleme unterrichtet und diese haben bereits erste Gegenmaßnahmen ergriffen.
Das Paper ist derzeit nicht direkt zu erreichen. Hier gibt es noch eine HTML-Version, in der allerdings leider die Grafiken fehlen. (ps)
