Monate altes Sicherheitsleck in Mozilla und Firefox

Popup-Fenster kann Download-Dialog und Sicherheitshinweise verdecken

Der Sicherheitsspezialist Michael Krax berichtet über eine Sicherheitslücke in Mozilla und Firefox, worüber Angreifer Daten auf den Rechner anderer Nutzer schleusen können, indem Popup-Fenster andere Dialoge überdecken. Das Sicherheitsloch steckt auch im Internet Explorer, stellt hier allerdings ein geringeres Risiko dar.

Artikel veröffentlicht am ,

Screenshot #1
Screenshot #1 Über das jetzt bekannt gewordene Sicherheitsloch in Mozilla und Firefox lassen sich Download-Dialoge teilweise durch ein Popup-Fenster verdecken, um Anwender so zum Download von Dateien zu verleiten. Im Glauben, einen Popup-Fenster-Dialog zu bestätigen, wird so etwa eine Programmdatei auf den Rechner geladen oder je nach Einstellungen und Dateityp auch gleich ausgeführt.

Screenshot #2
Screenshot #2 Aus Sicherheitsgründen dürfte ein Popup-Fenster eigentlich keine Dialogboxen verdecken, um die hier beschriebenen Manipulationen zu verhindern. Michael Krax hat Demos bereitgestellt, welche die Arbeitsweise des Sicherheitslochs zeigen. Wie Screenshot #1 illustriert, wird das Popup-Fenster in der Standardkonfiguration direkt über einen Firefox-Download-Dialog gelegt, so dass es den Anschein erweckt, die beiden Knöpfe "OK" und "Abbrechen" gehören zum Popup-Fenster.

Screenshot #3
Screenshot #3 Prinzipiell steckt das Sicherheitsleck auch im Internet Explorer, allerdings lässt sich ein Anwender darüber nicht so ohne weiteres austricksen, weil die Download-Knöpfe von Microsofts Browser anders beschriftet sind. Siehe dazu Screenshot #3. Der Opera-Browser verhält sich in dem geschilderten Fall, wie es aus Sicherheitsgründen empfohlen wird: Das Verdecken des Download-Dialogs ist nicht möglich, so dass der Dialog immer nach vorne springt.

Screenshot #4
Screenshot #4 Über das Sicherheitsloch lassen sich auch Sicherheitsdialoge in Mozilla oder Firefox durch ein Popup-Fenster verdecken. Allerdings muss dazu die Konfigurationseinstellung "signed.applets.codebase_principal_support" im Browser auf "true" gestellt werden, was normalerweise deaktiviert ist. Nach Angaben von Michael Krax würden einige XUL-Seiten eine entsprechende Änderung in den Einstellungen empfehlen.

Screenshot #5
Screenshot #5 Nach Angaben von Michael Krax hat er das Mozilla-Team bereits Mitte September 2004 - vor mehr als drei Monaten und damit lange vor Firefox 1.0 - über das Problem informiert, ohne dass das Sicherheitsleck bislang behoben wurde. Er hatte eigentlich die Hoffnung, dass das Mozilla-Team das Sicherheitsloch bis zur 1.0er-Version von Firefox beseitigen werde.

Der Fehler wurde für Mozilla 1.7.5 und Firefox 1.0 bestätigt. Deaktiviert man JavaScript im Browser, lässt sich das Sicherheitsloch nicht ausnutzen. Ein Patch zur Abhilfe ist weder für Mozilla noch für Firefox erhältlich. Als Workaround kann man in den JavaScript-Optionen den Punkt "Fenster vor oder hintere andere Fenster legen" deaktivieren, was standardmäßig aktiviert ist.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
Neuer Phishing-Trick in zahlreichen Browsern gefunden
Tabbed-Browsing: Sicherheitslücken in mehreren Web-Browsern
Cross-Domain-Sicherheitslücke in fast allen Browsern
Meistgelesen
artikel-bild
Militär
Laserantrieb soll chinesische U-Boote leise machen
artikel-bild
Windows
Smart-TV bringt Computer zum Absturz
artikel-bild
Thermomodul
Mahle will E-Auto-Reichweite um bis zu 20 Prozent steigern
Kommentarübersicht
Re: Monate altes Sicherheitsleck in Mozilla und...
Elrond 25. Jan 2005

Ein User der auf dieses Sicherheitsloch reinfällt ist nicht in der Lage Firefox zu...

Re: Frickelkram
Michael - alt 18. Jan 2005

Bei Dir weiß ich das auch nie..... Klingt immer alles so hilflos....

Hat Mama Dich nicht lieb?
kische40 14. Jan 2005

??? Wo hab ich was von Linux geschrieben? Unterbelichtet bist Du also nicht nur in...

Re: Toller Sicherheitsexerte
Chuck 13. Jan 2005

Da hast du verdammt noch mal recht!

Aktuell auf der Startseite von Golem.de
Rennelektroauto
Tesla Model 3 Performance mit 262 km/h Höchstgeschwindigkeit

Tesla hat das Model 3 Performance vorgestellt, das eine Systemleistung von 340 kW und eine Höchstgeschwindigkeit von 262 km/h bietet.

Rennelektroauto: Tesla Model 3 Performance mit 262 km/h Höchstgeschwindigkeit
Artikel
  1. Fritzbox: AVM bestätigt gute Einigung mit Huawei zu Patenten
    Fritzbox
    AVM bestätigt "gute Einigung" mit Huawei zu Patenten

    Trotz viel Geheimhaltung lobt AVM die Einigung mit Huawei zu Wi-Fi-Patenten. Die Workarounds für die Fritzbox werden zurückgenommen.

  2. Windows: Smart-TV bringt Computer zum Absturz
    Windows
    Smart-TV bringt Computer zum Absturz

    Über Jahre sind bei der Sound-Designerin Priscilla Snow immer mehr Funktionen ihres PCs ausgefallen, bis er fast unbrauchbar war. Als Übeltäter hat sich ihr Hisense-Fernseher herausgestellt.

  3. KI-Modell: Microsoft stellt mit Phi-3 Mini ein LLM für das iPhone vor
    KI-Modell
    Microsoft stellt mit Phi-3 Mini ein LLM für das iPhone vor

    Microsoft hat mit Phi-3 Mini sein bisher kompaktestes KI-Modell vorgestellt. Es soll die Leistung von GPT 3.5 bieten, läuft aber auch auf dem iPhone.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Galaxy S23 400€ günstiger • MindStar: Radeon-Grafikkarten zu Tiefstpreisen • Alternate: Asus Gaming-Laptop 899€ statt 1.599€ • Anker USB-Ladegeräte -45% • MSI MEG 342CDE OLED 999€ • Gamesplanet Spring Sale [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /