06.06.2007 | Autor / Redakteur: Dirk Srocke / Florian Karlstetter
Insgesamt vier Sicherheitslücken in Webbrowsern hat der polnische Sicherheitsexperte Michal Zalewski zusammengestellt. Betroffen sind sowohl Microsofts Internet Explorer als auch die von der Mozilla Foundation gepflegte Open-Souce-Lösung Firefox.
Michal Zalewski hat die Schwachstellen über den Mailverteiler „Full Disclosure“ bekanntgegeben. Mit je zwei Lücken in Internet Explorer (MSIE) und Firefox ist die Zahl der Fehler ausgewogen verteilt, die gefährlichsten Angriffe sind allerdings auf den IE möglich.
Ein als „Critical“ eingestuftes Problem in MSIE 6 und MSIE 7 kompromittiert das gesamte Sicherheitsmodel des Microsoft-Browsers – so Zalewski. Über Javascript kann eine neugeladene Webseite dabei mit den Rechten der vorherigen arbeiten. Ein Angreifer kann so etwa fremde Cookies auslesen, das Document Object Model (DOM) nach Belieben ändern und damit Code einschleusen oder den Browser zum Absturz bringen. Über einen weiteren Spoofing-Fehler im IE lassen sich Fremdseiten mit einer fremden URL (Uniform Resource Locator) tarnen.
In Firefox hat Zalewski eine als bedeutend bewertete Möglichkeit zum Cross-site Iframe hijacking gefunden. Über diese lässt sich Schadcode per Javascript einschmuggeln. Eine weitere, mittelschwere Lücke erlaubt zudem das Ausschalten von Nutzerabfragen. So können Programme ohne Zustimmung des Nutzers heruntergeladen oder ausgeführt werden. Über die betroffenen Versionen macht der Sicherheitsexperte keine Angaben, verweist aber auf bekannte Fehler. Die Bugzilla-Referenzen sind vom 30. Mai und 4. April datiert.
Genaue Fehlerbeschreibungen und Beispielcode zu den Schwachstellen sind über den angegebenen Link zu erreichen.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2005218)
