Drei Fehler in Firefox und Mozilla

Die freien Web-Browser Firefox 1.0 und Mozilla 1.7.5 enthalten unter Windows drei Schwachstellen, mit denen Angreifer Benutzer überlisten können, ausführbare Dateien auf ihr System zu laden, die Konfiguration des Browsers ungewollt zu verändern und untergejubelte Befehle auf dem PC auszuführen. Der Sicherheitsspezialist Michael Krax hat zu jedem der Fehler eine Demo-Seite veröffentlicht, die das Problem veranschaulicht. Bei allen ist zwar eine erhebliche Interaktion des Nutzers notwendig, allerdings dürfte nicht allen Anwendern die Manipulation unbedingt auffallen.  

Die erste Demo Firedragging zeigt das Fehlverhalten von Firefox und Mozilla beim Drag & Drop von Objekten aus einer Web-Seite heraus auf den Desktop. Normalerweise erlaubt der Browser dies nur für Bilder. Bei anderen Objekten wie ausführbaren Dateien legt er nur einen Link dorthin an. Allerdings reagiert er großzügiger bei so genannten Hybrid-Dateien, die beides sind, nämlich sowohl Bild als auch Batch-Datei. Bei der Darstellung des Objektes in einer Web-Seite zeigt er zwar das Bild an, beim Ziehen auf den Desktop wird daraus plötzlich eine Batch-Datei. Der unbedarfte Anwender dürfte sich wundern, was aus seinem Bild geworden ist und unter Umständen auf die Batch-Datei doppelklicken -- die bekannte Endung .bat wird ja standardmäßig unter Windows ausgeblendet. Einen ähnlichen Bildtrick hat schon der Sicherheitsexperte http-equiv bei einer Lücke im Internet Explorer eingesetzt. Allerdings war dort HTML-Code in einem GIF eingebettet, statt der Batch-Befehle in der vorliegenden Demo.

Der zweite Fehler betrifft den Javascript Security Manager und das Tabbed Browsing. Der Manager verhindert, dass Javascript-Links Inhalte in bereits geöffneten Fenstern aufrufen können. Zieht man aber einen derartigen Link auf einen Tab, so greift der Security Manager nicht ein. Zwar ist das Ziehen von Links auf vorhandene Tabs zum Öffnen einer neuen Seite keine häufig angewendete Methode, allerdings sind die Auswirkungen umso bedenklicher. So kann der Angreifer bei Web-Seiten mit Authentifizierung den Cookie auslesen. Bei Web-Seiten, die Software installieren dürfen -- etwa update.mozilla.org --, bekommt man plötzlich die Installation von Software angeboten. Ist in einem Tab die Konfigurationsseite about:config geöffnet, so führt das Ziehen des Links dorthin zum Ausführen von beliebigen Befehlen des Angreifers. In der Demo Firetabbing findet man beispielsweise unter c:\ die Datei booom.txt wieder.

Mit der letzten Demo Fireflashing zeigt Krax, wie man das Flash-Plugin und den Opacity-Filter (Durchsichtigkeit) von Firefox missbrauchen kann, um about:config in einem unsichtbaren Frame darzustellen. Ein Doppelklick auf eine bestimmte Stelle in diesem Frame schaltet dann den Parameter um, auf den der Cursor zeigt. Der Anwender bleibt allerdings in dem Glauben, auf ein leeres Feld geklickt zu haben.

Die Entwickler sind über die Fehler informiert und haben sie bereits in den Nightly Builds von Firefox beseitigt. Da diese aber nicht ausreichend getestet werden, sollten Anwender lieber bis zum Erscheinen der Version 1.0.1 warten. Wann dies soweit ist, ist aber noch unklar
Quelle: heise

Umlaute in Domain-Namen ermöglichen neuen Phishing-Trick

Mit einem neuen Trick können Phisher den Anwendern URLs in Webbrowsern (momentan den Standardinstallationen von Opera 7.54, Konqueror 3.2.x. und Mozilla-basierenden Webbrowsern wie Firefox 1.0) vorgaukeln. Der Trick funktioniert so gut, dass man ihn sogar auf vermeintlich SSL-gesicherte Seiten anwenden kann. In dem auf der Mailing-Liste Full Disclosure erschienenen Advisory ist eine Demo verlinkt, die den Anwender vortäuscht, auf paypal.com zu führen. Auch bei Ansicht der Seiteninformationen in Firefox scheint die Seite wirklich von PayPal zu stammen -- allein der Inhalt der Seite passt nicht so recht dazu. Bei der https-Demo erscheint die Adressleiste im Firefox gelb hinterlegt. Auch warnt der Browser nicht vor einem ungültigen Zertifikat.  

Angreifer und Phisher können diese Schwachstelle ausnutzen, um täuschend echt gemachte Seiten im Netz zu hinterlegen und Passwörter und Kreditkartennummern zu sammeln. Der Anwender hat kaum ein Chance festzustellen, dass die Seite gefälscht ist. Insbesondere der bei vielen Dienstleistern zu findende Hinweis, das Server-Zertifikat auf seine Gültigkeit zu prüfen, ist hier fast nutzlos. Erst die Anzeige des vollständigen Zertifikats offenbart, dass das Zertifikat zwar gültig ist, aber gar nicht für paypal.com ausgestellt wurde.

Ursache des Problems ist die Unterstützung von Internationalized Domain Names (IDN), was die Verwendung länderspezifischer Sonderzeichen ermöglicht. Deutsche Domains können durch die Kodierung mit Punycode seit dem 1. März 2004 Umlaute wie ä, ü und ö enthalten. Domain-Namen können so aber auch etwa kyrillische Zeichen umfassen. Unglücklicherweise sieht ein kyrillisches kleines a aber genauso so aus wie ein lateinisches kleines a. Allein der Unicode unterscheidet sich.

Im vorliegenden Beispiel ist das erste a in paypal.com in Wirklichkeit ein kyrillsches a (http://www.pаypal.com/). Dezimal 1072 steht in Unicode für das kyrillische a. Der Link führt zu der in Punycode geschriebenen Adresse "http://www.xn--pypal-4ve.com", also nicht zum Internetbezahldienst PayPal. Das SSL-Zertifikat ist ebenfalls für www.xn--pypal-4ve.com ausgestellt und von Usertrust unterschrieben.

Dass ähnlich aussehende Zeichen in Domain-Namen einmal Sicherheitsprobleme aufwerfen würden, findet schon im RFC 3492 Erwähnung. Mitte 2002 wiesen zudem zwei israelische Studenten ebenfalls auf dieses Problem hin und demonstrierten es anhand von Microsoft-Domains.

Da Microsofts Internet Explorer momentan standardmäßig keine derartigen internationalisierten Domain-Namen unterstützt, funktioniert der Angriff hier nicht. Grundsätzlich aber beruht das Problem nicht auf Fehlern in Browsern oder in der Namensauflösung durch Name-Server. Wie man dieses Problem angehen will, ist deshalb derzeit noch unklar. Anwender von Firefox und Mozilla können als Workaround die Unterstützung von IDN deaktivieren, sodass der Phishing-Trick nicht mehr funktioniert. In der Adressleiste gibt man dazu about:config ein und setzt anschließend network.enableIDN auf false.

Quelle: heise

Hinweis!
Sound einschalten

Klick Here

Kennt bzw hat hier zufällig jemand das game und kann mal nen kurzen bericht darüber abliefern ob sich der kauf lohnt??

und für alle die es nicht kennen hier mal die Produktbeschreibung:

Film ab für Scene it? - das coole Kinoquiz mit echten Filmclips! Scene it? ist das einzige Kinoquiz in Deutschland, das Brettspiel und interaktives DVD-Spiel in Einem ist! Große Stars und große Momente für ein großes Publikum! Scene it? ist immer wieder neu, vielfältig und überraschend! Über 150 Filmclips und Screenshots, über 200 Stars und über 1000 Fragen lassen für Fans ab 16 Jahren Kino-Action mit Spaß und Spannung lebendig werden. Vom Klassiker bis zum neuesten Blockbuster - hier ist Beobachtungsgabe und Erinnerungvermögen gefragt! Knifflige Aufgaben und Bilderrätsel mit Special Effects. Scene it? verbindet auf einzigartige Weise das klassische Fragespiel mit der neuen, multimedialen Dimension der DVD!
FEATURES:
- Das coole Kinoquiz mit echten Filmclips
- Große Stars, unvergessene Momente, berühmte Zitate
- Zweigeteiltes Spielfeld für lange und kurze Spielrunden
- Knifflige und witzige Aufgaben und Quizfragen in acht verschiedenen Spielmodi
- Über 150 Bilder und Filmausschnitte, 200 Stars und 1100 Quizfragen
- Scene it? ist so variabel, dass es auch auf Partys zum absoluten Hit wird! Nur mit der DVD gespielt, können unbegrenzt viele Kinofans gegeneinander antreten
- Läuft auf allen DVD-Playern sowie PCs mit DVD-Laufwerk, Playstation 2 und Xbox mit DVD-Kit
- Komplett lokalisiert mit vielen deutschen Filmen.

Gruß
Psycho

Hallo alle zusammen!

auf der Suche nach einem Forum mit Informativen Inhalt aus den Bereichen FSK18, uncut und Indiziert, einer netten Community und einer dazu guten Seitengestaltung bin ich auf euer Forum aufmerksam geworden.
Und wie man unschwer aus der Anmeldung entnehmen kann, erfüllte dieses Foum meine Vorstellungen und zwang mich förmlich zur anmeldung   !

Nun genung geschleimt und mal etwas zu meiner Person:

Ich bin 25 Jahre und leidenschaftlicher Sammler von Filmen jeglichen Genres. Beruflich betreibe einen Internet-DVD-Shop.

Topfilme: tja da wirds dann schon schwer, bei mir gibt es eigentlich keine Topfilmliste, da für mich alle Titel in meiner Sammlung Top, mit ein zwei ausnahmen, die dann vielleicht mal ein Glückskauf waren aber das wars dann auch schon.

Musikrichtungen: Metal und Rock

So das wars erstmal soweit von meiner Seite!

ich hoffe,das das was ich geschrieben habe geht soweit in ordnung geht. Sollte diese nicht der Fall bitte dies ungewollten stellen kürzen!

Auf eine nette und Informative Zeit!