zurück zum Artikel

Firefox mit Anti-Clickjacking-Unterstützung

Daniel Bachfeld

Firefox 3.6.9 unterstützt einen Server-Header, mit dem sich Clickjacking verhindern lässt. Zudem schließt die Version 14 Lücken, unter anderem auch die DLL-Lücke in der Windows-Version.

Firefox 3.6.9 [1] unterstützt den X-FRAME-OPTIONS-Header [2], mit dem Webserver dem Client verbieten können, nachgeladene Seiten in IFrames zu öffnen. Beim Clickjacking [3] schiebt die Webseite eines Angreifers einen durchsichtigen iFrame mit Inhalten von beispielsweise Facebook unter den Mauszeiger. Im Glauben, etwas auf der angezeigten Seite anzuklicken, klickt der Anwender jedoch auf Elemente in einem durchsichtigen, zu Facebook gehörenden iFrame.

Mitte des Jahres fielen [4] mehrere hundertausend Facebook-Anwender einer Clickjacking-Attacke zum Opfer, als sie auf einer präparierten Seite unbewußt auf einen versteckten "Gefällt mir"-Button ("Like") geklickt hatten. Durch die neue Option könnte Facebook künftig bei Firefox-Anwendern verhindern, dass ein Angreifer Inhalte in einem IFrame laden kann. Allerdings unterstützen bereits der Internet Explorer 8, Safari, Opera und Chrome die Option – und trotzdem nutzt Facebook die Option (noch) nicht. Testen kann man die Anti-Clickjacking-Funktion hier [5] .

Firefox 3.6.9 schließt zudem mehr als 14 Sicherheitslücken, wovon die Entwickler mindestend 10 als kritisch einstufen. Dazu gehört neben Integer und Heap Overflows sowie verwaisten Zeigern auch die Schwachstelle beim Nachladen von DLLs [6] über das Netz für die Windows-Version von Firefox. Daneben sind auch Firefox 3.5.12 [7], Thunderbird 3.1.3 [8], Thunderbird 3.0.7 [9] und SeaMonkey 2.0.7 [10] erschienen, in denen dieselben Lücken geschlossen wurden. (dab [11])

URL dieses Artikels:
https://www.heise.de/-1074880

Links in diesem Artikel:
[1] http://www.mozilla-europe.org/de/firefox/
[2] https://developer.mozilla.org/en/The_X-FRAME-OPTIONS_response_header
[3] https://www.heise.de/news/Clickjacking-Problem-in-Browsern-bleibt-bestehen-907651.html
[4] https://www.heise.de/news/Clickjacking-fuer-soziale-Netze-Likejacking-1014234.html
[5] http://www.enhanceie.com/test/clickjack/
[6] https://www.heise.de/news/DLL-Luecke-Microsoft-doktert-weiter-an-Workaround-herum-1070416.html
[7] http://www.mozilla-europe.org/de/firefox/3.5.12/releasenotes/
[8] http://www.mozillamessaging.com/de/thunderbird/
[9] http://www.mozillamessaging.com/en-US/thunderbird/3.0.7/releasenotes/
[10] http://www.seamonkey-project.org/releases/seamonkey2.0.7/
[11] mailto:dab@ct.de

Copyright © 2010 Heise Medien