Spoofing-Schwachstelle im Webbrowser Firefox

Firefox weist nach Angaben des israelischen Sicherheitsspezialisten Aviv Raff eine Schwachstelle bei der Darstellung von Authentifizierungs-Dialogen auf, die es beispielsweise Phishern erleichtern soll, Anwendern Anmeldedaten von Webseiten abzuluchsen. Die Basic Authentication dient zur Zugriffsbeschränkung auf Webseiten und erfordert die Eingabe des Usernamens und eines Passwortes. In der dazu passenden Dialogbox ist neben dem Namen der anfordernden Instanz, dem so genannten Realm, auch angegeben, von welchem Webserver die Authentifizierungsaufforderung kam. Allerdings schlampt Firefox offenbar bei der Auswertung und Anzeige des Realms. Mit Single Quotes und Spaces lässt sich laut Raff ein Dialog darstellen, der dem Anwender vorgaukelt, von einer ihm vertrauten Seite zu stammen, obwohl er von einer Phishing-Seite stammt.

Raff hat auf seiner Webseite eine Videodatei (WMV-Datei) hinterlegt, die das Problem demonstriert. Für einen erfolgreichen Angriff muss ein Opfer aber einem präparierten Link auf einer bösartigen Webseite folgen. Allerdings ist nicht so ohne Weiteres ersichtlich, dass man gerade angegriffen wird – man stelle sich vor, eine scheinbar harmlose Seite von MySpace verlinkt auf die Buchwunschliste von Amazon und gaukelt anschließend dort einen Login vor. Bei der veränderten Art des Logins sollen dem Opfer aber immerhin Zweifel kommen, dass es noch mit rechten Dingen zugeht.

Betroffen sind laut Bericht Mozilla Firefox 2.0.0.11 und wahrscheinlich vorherige Versionen, möglicherweise auch anderen Produkte der Mozilla Foundation. Ein Update gibt es noch nicht. Raff empfiehlt bis dahin, kein Anmeldedaten in den genannten Dialogen einzugeben. Zuletzt hatte er auf ein Sicherheitsproblem in der Toolbar von Google aufmerksam gemacht.

Siehe dazu auch:

• Yet another Dialog Spoofing - Firefox Basic Authentication, Fehlerbericht von Aviv Raff

(dab)