Firefox führt JavaScript in normalen Bookmarks aus
Damit kann ein Angreifer etwa Cookies kopieren und für eigene Zwecke missbrauchen. Zwar führen auch Bookmarklets JavaScript aus, dort merkt der Anwender aber in der Regel, dass er kein normales Bookmark importiert. Eine Demo führt den Fehler vor.
- Daniel Bachfeld
Der Spezialist für Browsersicherheit Michal Zalewski hat eine Demo veröffentlicht, die eine Schwachstelle in Firefox 1.5 und 2.0 bei der Verarbeitung von Bookmarks aufzeigt. Das Problem: In einem Bookmark enthaltenes JavaScript wird im Kontext der gerade angezeigten Seite ausgeführt, statt im Kontext der aufzurufenden Seite. Damit kann ein Angreifer etwa Cookies seines Opfers kopieren und für eigene Zwecke missbrauchen. Zwar geht dies auch mit Bookmarklets schon seit Langem, allerdings muss man diese über das Kontext-Menü (rechte Maustaste) in seine Bookmark-Sammlung importieren – ein einfaches "Zu Bookmarks hinzufügen" über die Bookmark-Option oder Control-D funktioniert hier nicht. Anders bei Zalewskis Methode: Hier lässt sich das JavaScript enthaltende Bookmark über die üblichen Wege hinzufügen. Ein Anwender denkt, er markiert eine normale Seite und merkt nicht, dass er eigentlich ein Bookmarklet hinzugefügt hat.
Zalewskis Demo führt dies anhand der bei vielen Anwendern als Startseite festgelegten Suchmaschine Google vor, damit soll dann ebenfalls das Kopieren der Google-Mail-Authentifizierungs-Cookies möglich sein. Um JavaScript in das Bookmark zu bekommen, nutzt Zalewski das neben dem URL-Schema http:// ebenfalls von Browsern unterstützen Schema data: zum direkten Einbinden von Daten. Damit muss ein Link nicht mehr auf eine echte Webseite zeigen, um Daten und Inhalte zu holen, sondern kann sie direkt einbinden und vom Browser anzeigen lassen.
In der Fehlerdatenbank von Mozilla wird bereits über die Schwachstelle diskutiert. Noch scheint aber nicht entschieden zu sein, ob man das data:-Schema in Bookmarks künftig nicht mehr unterstützen will oder den Anwender beim Hinzufügen eines derartigen Lesezeichens warnen will. Anwender sollten mit Bookmarklets ohnehin sehr vorsichtig umgehen: Darin enthaltenes JavaScript wird im lokalen Kontext ausgeführt, darf also auf alle Resourcen zugreifen. Ein bösartiges Bookmarklet hat somit allerlei Möglichkeiten, den Rechner auszuspionieren – nicht nur im Firefox, sondern auch im Internet Explorer.
Siehe dazu auch:
- Firefox bookmark cross-domain travel vulnerability, Fehlerbericht von Michal Zalewski
- Bookmarklets -- The Evil Lurking In Your Browser, Artikel auf hunlock.com
(dab)
