Phishing- und Pop-up-Schutz in Firefox fehlerhaft [Update]

Angreifer können mit einfachen Mitteln den Phishing-Filter überlisten und über Firefox 1.5 mit einem Pop-up-Trick möglicherweise sogar beliebige lokale Dateien ausspähen.

In Pocket speichern vorlesen Druckansicht 175 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Christiane Rütten

Der Open-Source-Webbrowser Firefox hat Probleme mit seinem Schutz gegen Phishing und unerwünschte Pop-ups. So erkennt Firefox bis einschließlich der aktuellen Version 2.0.0.1 registrierte Phishing-URLs nicht mehr, wenn zusätzliche Schrägstriche als Verzeichnistrenner eingestreut sind, wie beispielsweise in www.heise.de///ct. Auf diese Weise ist es möglich, den Phishing-Schutz zu umgehen und URLs auf der Blacklist für eine neuen Phishing-Welle zu reaktivieren. In der Mozilla-Fehlerdatenbank ist dieses Problem zwar derzeit als behoben markiert, es ist jedoch nicht klar ersichtlich, ob das bedeutet, dass das Verhalten des Open-Source-Browsers geändert wird.

Eine mögliche Schwachstelle im Pop-up-Blocker will Michal Zalewski in Firefox 1.5.0.9 entdeckt haben. Sie erlaubt Angreifern möglicherweise, beliebige lokale Dateien auszulesen. Dazu muss sich laut Zalewski ein Angreifer die Tatsache zunutze machen, dass Firefox zum Download angebotene Dateien auch ohne Nutzerrückfragen herunterlädt und in einem temporären Verzeichnis abspeichert. Zugriffe auf lokale Dateien über den file://-Namensraum ist für Webseiten im Internet zwar verboten, doch ein lokal gespeicherter JavaScript-Code darf auch auf lokale Dateien zugreifen.

Zalewski schildert folgendes Angriffsszenario: Schickt eine manipulierte Webseite nach dem Klick auf ihre URL zunächst die HTML-Datei mit dem JavaScript-Code und einen Sekundenbruchteil später ein Pop-up, zeigt es Firefox an, weil Pop-ups als direkte Reaktion auf Nutzereingaben in der Standardeinstellung erlaubt sind. Dabei überdeckt das Pop-up den Download-Dialog, und die HTML-Datei landet ohne weitere Nutzerinteraktion zunächst unter einem Zufallsnamen im temporären Verzeichnis. In dem Pop-up-Fenster wird der Anwender darauf hingewiesen, dass für die ordentliche Funktionsweise der Webseite ein nachfolgendes Pop-up erlaubt werden müsse.

Das zweite Pop-up, dem der Anwender zustimmen muss, kann auf die lokal gespeicherte HTML-Datei mit dem Skript-Code verweisen, sofern ihr Zufallsname im temporären Verzeichnis vorhersagbar ist. Da der von Firefox verwendete Zufallszahlengenerator allerdings mit der aktuellen Uhrzeit initialisiert wird, lässt sich der erzeugte Dateiname laut Zalewski mit hinreichender Zuverlässigkeit vorhersagen. Ob das Ganze auch in der Praxis funktioniert, ist derzeit noch unklar; ein Demo-Exploit existiert bislang offenbar noch nicht.

Siehe dazu auch:

(cr)