Aus dem Newsletter von www.buerger-cert.de
Ausgabe vom 23.11.2006:
"3. STOERENFRIEDE: Schwachstellen in Browsern ermoeglichen
Phishing-Angriffe
Passwort-Klau
Das BSI [http://www.bsi.bund.de] warnt vor einer Sicherheitsluecke in
den Browsern Firefox und Internet Explorer, die es Angreifern
ermoeglicht, Passwoerter und andere persoenliche Daten zu stehlen. Der
Passwort-Manager der beiden Browser fuellt automatisch Formular- und
Login-Felder auf Web-Seiten aus. Bei Mozilla Firefox geschieht dies ohne
die URL der Seite korrekt zu ueberpruefen. Auch wird nicht geprueft, an
welche Seite die Daten weiter gegeben werden. Wenn Angreifer nun
vertrauenswuerdige Webseiten manipulieren und praeparierte
Formularfelder einfuegen oder eine eigene Webseite auf dem System
einrichten koennen, werden die vertraulichen Login- bzw. Formulardaten
von Benutzern automatisch eingetragen und an die Betrueger weiter
gegeben. Inwiefern die verschiedenen Versionen des Internet Explorers
betroffen sind ist noch nicht abschliessend geklaert. Bislang steht kein
Patch zur Verfuegung, der die Fehler schliesst. Nutzern wird geraten,
den Passwort-Manager zu deaktivieren oder so lange auf einen anderen
Browser auszuweichen."