Browser senden Cookies an falsche Server [Update]
Nach Angaben der Sicherheitsspezialisten des Dienstleisters Westpoint senden die Browser Internet Explorer, Mozilla und Konqueror auf dem System gespeicherte Cookies unter bestimmten Umständen an den falschen Server.
Nach Angaben der Sicherheitsspezialisten des Dienstleisters Westpoint senden die Browser Internet Explorer, Mozilla und Konqueror auf dem System gespeicherte Cookies unter bestimmten Umständen an den falschen Server. Angreifer können mit präparierten Webservern so möglicherweise eigene Cookies in bereits bestehender Verbindungen des Opfers einschleusen. Eine darin gespeicherte Session-ID kann dann fälschlicherweise zur Authentifizierung verwendet werden. Da der Angreifer diese ID ebenfalls kennt, kann er ohne Authentifizierung beispielsweise auf Webmail-Konten und andere Online-Dienste zugreifen.
Auf den ersten Blick wirkt das Angriffsszenario zwar konstruiert, die Autoren schätzen das Risiko auch selbst eher als gering ein. Es demonstriert aber dennoch sehr gut, wie eine Schwachstelle dadurch entstehen kann, dass die Einhaltung von Standards und Regeln einfach voraussgesetzt wird.
Normalerweise sendet der Browser einen Cookie nur an den Server zurück, der ihn herausgegeben hat. Allerdings gibt es laut Advisory ein optionales Domain-Attribut in Cookies, mit der sich dieses Verhalten abschalten lässt. Einmal vom Browser gelesen, gilt diese Einstellung fortan für alle Cookies. Dann sendet der Browser nicht nur an www.stealcookie.de, sondern an alle Rechner der Domäne stealcookie.de, sofern die ihn dazu auffordern. Das allein ist noch kein Problem, da sich auch keine Toplevel-Domains wie .de oder .com dafür benutzen lassen. Für einige Domännamen, wie man sie beispielsweise bei Servern in Großbritannien oder asiatischen Ländern findet, kann es das aber doch zum Problem werden: Sind die Country-Domains in zwei Teile aufgesplittet, so gilt das genannte Attribut für die komplette Domain. Ein Cookie des Servers www.stealcookie.co.uk kann also auch von allen anderen Servern in der .co.uk-Domäne angefragt werden, sofern der Anwender dorthin eine Verbindung aufbaut und der Server eines Angreifers auf dem System einen Cookie mit dem Attribut domain=.co.uk abgelegt hat.
Die genannten Browser zeigen dieses Verhalten unabhängig vom verwendeten Betriebssystem. Getestet wurde der Internet Explorer 6.0 und Mozilla Firefox 0.9.2 unter Windows 2000 mit allen Patches sowie Konqueror 3.1.4 unter SuSE 9.0 -- Opera 7.51 unter Windows 2000 arbeitete fehlerfrei.
Siehe dazu auch: (dab)
- Multiple Browser Cookie Injection Vulnerabilities von Westpoint
