Thema: Drei Fehler in Firefox und Mozilla

[PsychoStudio]

Drei Fehler in Firefox und Mozilla

Die freien Web-Browser Firefox 1.0 und Mozilla 1.7.5 enthalten unter Windows drei Schwachstellen, mit denen Angreifer Benutzer überlisten können, ausführbare Dateien auf ihr System zu laden, die Konfiguration des Browsers ungewollt zu verändern und untergejubelte Befehle auf dem PC auszuführen. Der Sicherheitsspezialist Michael Krax hat zu jedem der Fehler eine Demo-Seite veröffentlicht, die das Problem veranschaulicht. Bei allen ist zwar eine erhebliche Interaktion des Nutzers notwendig, allerdings dürfte nicht allen Anwendern die Manipulation unbedingt auffallen.  

Die erste Demo Firedragging zeigt das Fehlverhalten von Firefox und Mozilla beim Drag & Drop von Objekten aus einer Web-Seite heraus auf den Desktop. Normalerweise erlaubt der Browser dies nur für Bilder. Bei anderen Objekten wie ausführbaren Dateien legt er nur einen Link dorthin an. Allerdings reagiert er großzügiger bei so genannten Hybrid-Dateien, die beides sind, nämlich sowohl Bild als auch Batch-Datei. Bei der Darstellung des Objektes in einer Web-Seite zeigt er zwar das Bild an, beim Ziehen auf den Desktop wird daraus plötzlich eine Batch-Datei. Der unbedarfte Anwender dürfte sich wundern, was aus seinem Bild geworden ist und unter Umständen auf die Batch-Datei doppelklicken -- die bekannte Endung .bat wird ja standardmäßig unter Windows ausgeblendet. Einen ähnlichen Bildtrick hat schon der Sicherheitsexperte http-equiv bei einer Lücke im Internet Explorer eingesetzt. Allerdings war dort HTML-Code in einem GIF eingebettet, statt der Batch-Befehle in der vorliegenden Demo.

Der zweite Fehler betrifft den Javascript Security Manager und das Tabbed Browsing. Der Manager verhindert, dass Javascript-Links Inhalte in bereits geöffneten Fenstern aufrufen können. Zieht man aber einen derartigen Link auf einen Tab, so greift der Security Manager nicht ein. Zwar ist das Ziehen von Links auf vorhandene Tabs zum Öffnen einer neuen Seite keine häufig angewendete Methode, allerdings sind die Auswirkungen umso bedenklicher. So kann der Angreifer bei Web-Seiten mit Authentifizierung den Cookie auslesen. Bei Web-Seiten, die Software installieren dürfen -- etwa update.mozilla.org --, bekommt man plötzlich die Installation von Software angeboten. Ist in einem Tab die Konfigurationsseite about:config geöffnet, so führt das Ziehen des Links dorthin zum Ausführen von beliebigen Befehlen des Angreifers. In der Demo Firetabbing findet man beispielsweise unter c:\ die Datei booom.txt wieder.

Mit der letzten Demo Fireflashing zeigt Krax, wie man das Flash-Plugin und den Opacity-Filter (Durchsichtigkeit) von Firefox missbrauchen kann, um about:config in einem unsichtbaren Frame darzustellen. Ein Doppelklick auf eine bestimmte Stelle in diesem Frame schaltet dann den Parameter um, auf den der Cursor zeigt. Der Anwender bleibt allerdings in dem Glauben, auf ein leeres Feld geklickt zu haben.

Die Entwickler sind über die Fehler informiert und haben sie bereits in den Nightly Builds von Firefox beseitigt. Da diese aber nicht ausreichend getestet werden, sollten Anwender lieber bis zum Erscheinen der Version 1.0.1 warten. Wann dies soweit ist, ist aber noch unklar
Quelle: heise