Weiterer URL-Spoofing-Trick unter Opera
In Opera 7.51 ist ein weiterer Fehler bekannt geworden, mit dem sich in der Adresszeile des Browsers gefälschte URLs anzeigen lassen.
In Opera 7.51 ist ein weiterer Fehler bekannt geworden, mit dem sich in der Adresszeile des Browsers gefälschte URLs anzeigen lassen. Ein Anwender könnte in dem Glauben, auf einer ihm bekannten und vertrauenswürdigen Seite zu sein, Anmeldedaten und persönliche Informationen eingeben und übermitteln. Derartige Schwachstellen bringen zwar nicht den PC des Anwenders in Gefahr, allerdings nutzen böswillige Zeitgenossen solche URL-Spoofing-Möglichkeiten für Phishing-Tricks. Bereits in Opera 7.50 war es mit manipulierten Favicons möglich, die Adresszeile zu überdecken und beliebige URLs vorzutäuschen.
Ein von Winter Bitlance auf der Mailingliste Full-Disclosure veröffentlichtes HTML-Dokument demonstriert den Fehler. Sobald das Dokument geladen ist, erscheint in der Adresszeile die gespoofte URL. Dabei wird durch ein besonderes Style Sheet ein versteckter Inline Frame mit der gefälschten Adresse angezeigt. Der Fehler tritt nur in Version 7.51 unter Windows auf. Einen Patch oder Workaround gibt es derzeit nicht.
Siehe dazu auch: (dab)
- Security Advisory auf Full Disclosure
