Falsche URLs auch unter Mozilla

Der Webbrowser Mozilla zeigt manipulierte Links in der Status-Bar nicht vollständig an.

In Pocket speichern vorlesen Druckansicht 276 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Daniel Bachfeld

Der Webbrowser Mozilla zeigt manipulierte Links im Status-Bar nicht vollständig an. Ähnlich wie beim URL-Spoofing im Internet Explorer sorgt bei Mozilla nun die Zeichenkette "%00" dafür, dass nur der Teil eines Links (beispielsweise bei http://www.mozilla.org%00@www.heisec.de) bis zum "@"-Zeichen erscheint. Allerdings ist bei Mozilla nur die Voransicht in der unteren Status-Bar des Browser-Fensters betroffen, nicht aber die Anzeige in der Adress-Leiste bei Click auf den Link. Die Mozilla-Entwickler bemängelten aber bereits in den Known Issues der aktuellen Versionen, dass zumindest die ausbleibende Warnung vor der Umleitung auf die Website, die durch eine solche Fake-URL ausgelöst wird, als Bug zu betrachten ist.

Beim genaueren Hinsehen stellt man jedoch auch in der Status-Bar ein Sonderzeichen am Ende der URL fest, die auf eine Manipulation hindeutet. Dies ist allerdings nicht in allen Versionen zu sehen. Das Spoofing funktioniert in Mozilla unabhängig davon, ob Scripting aktiviert ist oder nicht. Die Schwachstelle wurde bisher für die Linux-Version 1.0.2 und Windows-Version 1.5 sowie die aktuelle Firebird-Version 0.7 bestätigt. Ein Patch oder Workaround stehen nicht zur Verfügung. Anwender sollten den in der Status-Bar angezeigten Informationen jedenfalls vorerst nicht trauen. (dab)