Browser-Fehler: Opera hat reagiert, Microsoft plant nichts

Etliche Web-Browser geben Herkunft von JavaScript-Dialogboxen nicht preis

Am gestrigen 21. Juni 2005 wiesen die Sicherheitsspezialisten von Secunia auf eine Spoofing-Sicherheitsanfälligkeit in zahlreichen Web-Browsern hin, die als ungefährlich eingestuft wurde. Aber dennoch bietet Opera bereits seit ein paar Tagen eine aktualisierte Version des Browsers an, um das dahinter stehende Risiko zu minimieren, während Microsoft überhaupt keinen Handlungsbedarf sieht.

Artikel veröffentlicht am ,

Zahlreiche Web-Browser zeigen in einer per JavaScript geöffneten Dialogbox nicht an, welche Webseite die Dialogbox aufgerufen hat. Wie Secunia mitteilt, lässt sich dieser Umstand dazu missbrauchen, um Spoofing-Angriffe auszuführen, indem Angreifer ihre Opfer in den Glauben versetzen, die aufgerufene Dialogbox stamme von einer vertrauenswürdigen Seite. Tatsächlich wird die Dialogbox aber von einer im Hintergrund liegenden Webseite aufgerufen, bei der auch die durch die Dialogbox vorgenommenen Eingaben landen. Ein Angreifer könnte so an vertrauliche Informationen gelangen.

Firefox 1.05 Nightly Build
Firefox 1.05 Nightly Build Secunia selbst hat das dahinter stehende Risiko für alle betroffenen Browser als gering eingestuft und stellt eine Testseite bereit, die den Fehler illustriert und erlaubt, den eigenen Browser auf die Anfälligkeit hin zu überprüfen. Das Problem steckt in allen aktuellen Versionen vom Internet Explorer, von Firefox und Mozilla sowie von den Mac-Browsern Internet Explorer für Mac, Camino, iCab sowie Safari. Nur die vor wenigen Tagen veröffentlichte Version 8.01 von Opera ist gegen derartige Angriffsversuche gefeit. Das Nightly Build der kommenden Version 1.0.5 von Firefox bringt derzeit keine Abhilfe, auch wenn Firefox 1.0.5 vor allem Sicherheitsprobleme beheben soll.

Opera 8.01
Opera 8.01 Obwohl das Risiko als gering eingestuft wurde, hat Opera seinen Browser überarbeitet, so dass dieser nun in jeder JavaScript-Dialogbox anzeigt, von welcher URL diese aufgerufen wurde. Während Opera offenbar im Vorfeld über das Sicherheitsrisiko informiert wurde und es für notwendig erachtet hatte, das Browser-Verhalten entsprechend zu verändern, sieht Microsoft keinerlei Handlungsbedarf.

Internet Explorer 6
Internet Explorer 6 In einem aktuellen Security Advisory geht Microsoft zwar auf das Sicherheitsrisiko ein und bestätigt die von Secunia gemachten Angaben und Beobachtungen, sieht jedoch eben im Unterschied zu Opera keinerlei Veranlassung, einen Patch für den Browser anzubieten. Demnach betrifft das Problem den Internet Explorer 5.01, 5.5 sowie 6.0 für die Windows-Plattform und den Internet Explorer für Mac 5.1. Obwohl der Fehler für zahlreiche Versionen des Internet Explorers bestätigt wurde, setzt Microsoft Nutzer des Browsers ganz bewusst dem Risiko aus, Opfer eines solchen Phishing-Angriffs zu werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
Sicherheitslöcher in Opera 8.0 - Browser für MacOS X ist da
Deutsche Version von Mozilla 1.7.8 zum Download
artikel-bild
PGP im Browser
Posteo warnt vor Mailvelope mit Firefox
Meistgelesen
artikel-bild
Solarpaket beschlossen
Bundestag erleichtert Anmeldung von Balkonkraftwerken
artikel-bild
Rheinmetall
Köln testet Ladebordsteine in der Praxis
artikel-bild
Bethesda
Das Next-Gen-Update für Fallout 4 ist da
Kommentarübersicht
Re: Lieber JavaScript ausschalten
T. 23. Jun 2005

blabla... ich weiss wie man virenscanner usw. anwendet. kannst du mir glauben du...

Re: So wild isses nicht...
LD 22. Jun 2005

Ich muss auch nicht wissen, wie man ein Rind schlachtet, um ein Steak zubereiten zu...

absolut übetrieben
Lukas 22. Jun 2005

Also ich finds ein zu negativer und nicht ganz fairen text. mein ich surfe zwar auch...

Re: Bias?
wupperbayer 22. Jun 2005

Wieso Schleichwerbung? Den Redakteuren der PC-Welt gefällt der Firefox...

Aktuell auf der Startseite von Golem.de
Quellcode auf Github
MS-DOS 4.00 ist jetzt Open Source

Nachdem der ehemalige CTO eine alte MS-DOS-Floppy entdeckt hat, veröffentlicht Microsoft ein Stück Betriebssystem-Geschichte.

Quellcode auf Github: MS-DOS 4.00 ist jetzt Open Source
Artikel
  1. Per GPU geknackt: So sicher sind 8-Zeichen-Passwörter 2024
    Per GPU geknackt
    So sicher sind 8-Zeichen-Passwörter 2024

    Ein gutes Passwort sollte mindestens 8 Zeichen lang sein, lautet oftmals die Empfehlung. Neue Untersuchungen zeigen jedoch: Die Zeit ist reif für mehr.

  2. Berlin: Encrochat-Daten münden in Razzia gegen Drogenbande
    Berlin
    Encrochat-Daten münden in Razzia gegen Drogenbande

    Bei einer Razzia in Berlin wurden am Mittwoch fünf Tatverdächtige festgenommen. Sie sollen massenhaft Drogen importiert und verkauft haben.

  3. Marskolonie: Elon Musk spricht über Marspläne sowie Starship 2 und 3
    Marskolonie
    Elon Musk spricht über Marspläne sowie Starship 2 und 3

    Für die Besiedlung des Mars braucht es mehr Raumschiffe und Startmöglichkeiten. Elon Musk redet vor seinen SpaceX-Mitarbeitern sogar von der Entwicklung vom Starship 2 und 3.
    Ein Bericht von Patrick Klapetz

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Asus OLED-Monitor zum Tiefstpreis • Gigabyte GeForce RTX 4070 Ti im Sale • MediaMarkt: Asus Gaming-Laptop 999€ statt 1.599€ • Gamesplanet Spring Sale [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /