Wer im Glashaus sitzt, sollte nicht mit Steinen werfen
heise.de:
Das Mozilla-Team hat einen Patch für eine von Emmanoul Kellis gemeldete Sicherheitslücke entwickelt. Sie ermöglicht es, mit Mozilla/Firefox Inhalte einer beliebigen Webseite im Kontext eines fremden Zertifikats anzuzeigen. Das in der Statusbar des Webbrowsers angezeigte Schloss wird normalerweise nur als geschlossen angezeigt, wenn ein gültiges Zertifikat für die Seite vorliegt und alle dargestellten Inhalte auch exklusiv von diesem Server stammen. Werden andere, von nicht zertifizierten Seiten stammende Inhalte eingebettet (beispielsweise mit einem Frame), sollte das Schloss durchgestrichen sein, um den Anwender darauf hinzuweisen.
Über einen Trick, der auf einem Caching-Problem in Mozilla beruht, ist es jedoch möglich, beliebige andere Seiten im Kontext von gesicherten SSL-Seiten anzeigen zu lassen, ohne dass sich das Schloss verändert -- dem Nutzer wird eine gesicherte Verbindung vorgekaukelt, die aber gar nicht besteht. Allerdings wird in der Addresszeile dann auch die URL der externen Seite angezeigt, was das Problem abschwächt. Dennoch kann dieser Fehler gefährlicher werden, wenn er in Kombination mit Adresszeilen-Spoofing verwendet wird. Die Mozilla-Entwickler haben bereits Patches entwickelt, die über Bugzilla zur Verfügung stehen, sie sind aber in den Vollversionen der Websuite beziehungsweise von Firefox momentan noch nicht implementiert. (pab/c't)
Opera spooft immer noch
Bereits zweimal hat der Browser-Hersteller Opera seinen gleichnamigen Browser nachgebessert, um so genanntes URL-Spoofing zu unterbinden. Dabei manipuliert ein Angreifer die im Browser angezeigte Adresse, um dem Opfer eine falsche Site vorzugaukeln, ihn in Sicherheit zu wiegen und möglicherweise sensible Daten wie Passwörter auszuspähen.
Ein Mitglied der Sicherheits-Mailingliste Full-Disclosure hat nun schon wieder eine Möglichkeit gefunden, Opera auszutricksen. Wie sich das Problem auswirkt, zeigt ein Klick auf diesen Opera-Link. Er ruft die Heise-Security-Seite auf; bei anfälligen Opera-Versionen zeigt er als Adresse www.opera.com an.
Grossadministrator
