Mozilla-Foundation will XSS-Lücke in Firefox schließen
Die kürzlich öffentlich bekannt gewordene Firefox-Schwachstelle in der Implementierung des jar-Protokolls weist offenbar noch mehr Potenzial für Missbrauch auf, als vermutet.
- Daniel Bachfeld
Die kürzlich öffentlich bekannt gewordene Firefox-Schwachstelle in der Implementierung des jar-Protokolls weist offenbar noch mehr Potenzial für Missbrauch auf als vermutet. Die Lücke ermöglicht Angreifern, bestimmte Schutzvorkehrungen respektive Filter von Webseiten wie MySpace und anderen gegen Cross-Site-Scripting und aktive Inhalte auszutricksen, um Anwendern Login-Informationen abzuluchsen. Bislang ging man davon aus, dass es dafür möglich sein muss, ZIP- und andere Archive mit präparierten Inhalten auf dem vom Opfer besuchten Webserver zu zu speichern.
Nach Angaben der Entwickler soll der Angriff aber auch mit Redirects funktionieren, sodass ein präpariertes Archiv auf einem beliebigen Server liegen darf. Um das Archiv aufzurufen, genügt es, einfach den Redirect im HTML-Code einzubetten oder eine Seite wie Google-Mail zu nutzen, die Redirects unterstützt. Ein Demonstrationsexploit der Firefox-Entwickler führt das Problem für Google-Mail-Konten vor. Im Test der heise-Security-Redaktion las er die gespeicherten Kontakte aus. Die Entwickler planen, das Problem in Firefox 2.0.0.10 zu lösen, indem der Browser prüft, ob der MIME-Type des Archivs korrekt ist. Version 2.0.0.10 unterliegt derzeit noch diversen Tests.
Siehe dazu auch:
- jar: Protocol XSS Security Issues, Blogeintrag von Window Snyder
(dab)
