Sicherheitslücke durch Datei-Upload-Formulare und JavaScript
Eine bekannte Schwachstelle wurde in mehreren Webbrowsern noch nicht korrekt abgedichtet: Mit JavaScript, Datei-Upload-Formularfeldern und Mithilfe von Anwendern können Angreifer Dateien ins Netz hochladen.
Eine altbekannte Schwachstelle, durch die Angreifer mit JavaScript und Datei-Upload-Formularfeldern Dateien ins Netz hochladen können, haben die Entwickler mehrerer Browser immer noch nicht korrekt abgedichtet. Michal Zalewski hat Demonstrationen ins Netz gestellt, die auch einen neuen Angriff auf den Internet Explorer 7 aufzeigen. Zum Ausnutzen der Lücke müssen die Anwender jedoch ordentlich mithelfen.
Die Schwachstelle besteht darin, dass Webseiten mittels JavaScript Tastenanschläge in Datei-Upload-Felder umkopieren können, indem sie etwa zwischen den Ereignissen onKeyDown und onKeyPressed den Eingabefokus zwischen Eingabefeldern in Formularen verschieben. Datei-Upload-Formularfelder genießen eigentlich einen besonderen Schutz, damit Scripte nicht automatisiert Dateien auswählen und ins Netz senden können – diesen Schutz können Angreifer so jedoch umgehen.
In Firefox beziehungsweise Mozilla ist die Schwachstelle schon seit etwa sieben Jahren bekannt. Im Bugzilla-System fand erst eine Diskussion statt, ob es sich bei Zalewskis Fund um einen neuen oder den alten Fehler handelt; es stellte sich dann aber als die alte Schwachstelle heraus. Auch Microsofts Internet Explorer enthält den Fehler, den das Unternehmen im IE7 jedoch behoben hat. Allerdings hat Zalewski einen neuen Weg gefunden, auch im IE7 Tastenanschläge umzuleiten und so Dateien ins Netz zu senden.
Die Lücke ist eigentlich nicht allzu kritisch, da die Anwender bestimmte Zeichen eingeben müssen, die ein JavaScript auf einer Webseite dann filtern muss. Allerdings könnten beispielsweise böswillige Seiten Benutzer mit Kommentarfunktionen dazu verleiten, entsprechende Zeichenfolgen einzugeben. In Firefox 1.5.0.10 und 2.0.0.2 funktionierten die Demonstrationen bei einem Test von heise Security nicht korrekt, im Internet Explorer 7 hingegen schon. Laut Zalewski kann JavaScript in Opera keinen Fokus auf Datei-Upload-Felder setzen, weshalb der Browser bei diesem Angriff nicht verwundbar ist.
Siehe dazu auch:
- Schwachstelle durch Formulare zum Datei-Upload und JavaScript in diversen Browsern, Meldung von heise Security
- MSIE / Firefox focus stealing vulnerabilities (for Windows), Demonstrationen von Michal Zalewski
- Focus change between onKeyDown and onKeyPress..., Eintrag mit Diskussion im Firefox-Bugzilla
(dmk)
