Spoofing-Lücken in Webbrowsern
Michal Zalewski hat weitere Schwachstellen in den aktuellen Versionen der Webbrowser Internet Explorer und Firefox entdeckt, die Phishern die Arbeit erleichtern. Auch Opera und Konqueror haben derartige Lücken.
- Dirk Knop
Der Sicherheitsexperte Michal Zalewski hat Details zu neuen Schwachstellen im Internet Explorer und in Firefox veröffentlicht. Angreifer können dadurch fremde Inhalte anzeigen, obwohl der Browser in der Adressleiste eine andere URL anzeigt. Aber auch Opera und Konqueror enthalten derartige Sicherheitslücken.
In Firefox können Webseiten auf Inhalte im Browsercache über wyciwyg://-URIs zugreifen. Eigentlich sollten diese URIs nicht für Benutzer zugänglich sein, allerdings hat Zalewski Wege gefunden, um diese Einschränkung zu umgehen. Das gelingt beispielsweise mit Fehlerseiten, die eine Seitenumleitung ankündigen (HTTP 302 Redirect) – zusätzlich lässt sich bei diesen Redirects die "Same-Domain"-Richtlinie umgehen und so ein Cross-Site-Scripting-Angriff ausführen. Angreifer können damit auf Informationen aus dem Cache zugreifen und eigene Inhalte in Seiten einbauen, die bereits im Cache liegen. Zalewski stellt eine Demonstrationsseite bereit, die bei Tests von heise Security jedoch nicht unter Windows XP mit Firefox 2.0.0.4 funktionierte; unter Mac OS X und Firefox 2.0.0.4 zeigte die Demonstration jedoch die gefälschten Inhalte an.
Manipulierte Webseiten können im Internet Explorer den Benutzer daran hindern, die Seite zu verlassen und dabei vom Angreifer vorgegebene Inhalte anzeigen. Die Adressleiste zeigt trotzdem die vom Benutzer angegebene URL an. Laut Zalewski führt der Aufruf der Funktion document.open() zu diesem Verhalten, wenn sie häufig aufgerufen wird, nachdem der Benutzer die neue Adresse eingegeben hat. Sie kommt dann vor der Routine onBeforeUnload() zur Ausführung, sogar noch vor der Auflösung der eingegebenen Adresse mittels DNS.
Aber auch Opera oder Konqueror enthalten eine Schwachstelle, durch die Angreifer fremde Inhalte unter gefälschten URLs anzeigen können. Robert Swiecki hat in den Browsern eine Schwachstelle bei der Verarbeitung von data:-URIs gefunden. Mit data:-URIs kann eine Webseite Inhalte wie Bilder direkt in den HTML-Code einer Webseite einbauen. Durch Fehler bei der Anzeige der Adresszeile beim Verarbeiten solcher Webseiten stellen die betroffenen Browser unter Umständen nur die letzten Zeichen der Adresse dar. Durch Auffüllen der Adresse mit Leerzeichen sieht die Adressleiste schließlich unverdächtig aus. Auch Swiecki stellt eine Demonstrationsseite bereit, die die Lücke veranschaulicht.
Bislang sind noch keine Updates für diese Schwachstellen verfügbar. Benutzer sollten daher erhöhte Vorsicht beim Surfen walten lassen und möglichst nur bekannte und vertrauenswürdige Seiten ansurfen.
Siehe dazu auch:
- Firefox wyciwyg:// cache zone bypass, Fehlerbericht von Michal Zalewski
- MSIE7 entrapment again, Fehlermeldung von Michal Zalewski
- Opera/Konqueror: data: URL scheme address bar spoofing, Sicherheitsmeldung von Robert Swiecki
- Demonstration der Firefox-Schwachstelle von Zalewski
- Demonstration der Internet-Explorer-Schwachstelle von Zalewski
- Demonstration der Schwachstelle in Opera/Konqueror von Swiecki
(dmk)
