+ Antworten
Ergebnis 1 bis 6 von 6

Schwachstelle bei Browser-Installationen (IE+FF)

Eine Diskussion über Schwachstelle bei Browser-Installationen (IE+FF) im Forum Technik Ecke. Teil des Off Topic-Bereichs; Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer kritischen Schwachstelle bei gleichzeitiger Installation der Browser Firefox und ...

  1. #1
    UF Supporter
    Mainforum-Moderator
    Avatar von Crash
    Registriert seit
    15.07.2004
    Ort
    Bremen
    Alter
    35
    Beiträge
    8.941
    Name
    Christian
    Nick
    Crash

    Schwachstelle bei Browser-Installationen (IE+FF)

    Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer kritischen Schwachstelle bei gleichzeitiger Installation der Browser Firefox und Internet Explorer auf Anwender-PCs.

    Sie könnte von Angreifern aus dem Internet dazu genutzt werden, beliebige Code auf dem Rechner auszuführen. Kern der Schwachstelle ist nach Angaben des BSI in Bonn ein so genannter URL-Protokollhandler, den das Programm Firefox auf dem PC installiert. Mit seiner Hilfe könnten Anwendungen, die die Internetsprache HTML interpretieren und umsetzen können - zum Beispiel der zum Surfen verwendete Internet Explorer - den Firefox-Browser öffnen. Weil in diesem Fall eine Sicherheitsüberprüfung unterbleibt, könne Firefox mit beliebigen Optionen aufgerufen werden.

    Ein Angreifer könnte also einen Anwender dazu verleiten, eine speziell gestaltete URL im Internet Explorer aufzurufen, so dass er beliebige Aktionen mit den Rechten des angemeldeten Benutzers auf dem Rechner ausführen kann. Es sei nicht auszuschließen, dass eine Ausnutzung der Schwachstelle auch über E-Mail-Programme erfolgt.

    Da es zum Schließen der Sicherheitslücke bislang kein Patch gibt, empfiehlt das BSI, vorsichtshalber die Einträge des URL-Protokollhandlers aus der Windows-Registry zu löschen. Dazu müssen in der Windows-Kommandozeile folgende Befehle eingegeben werden: "reg delete HKCR\FirefoxHTML /f" und "reg delete HKCR\FirefoxURL /f".

    Quelle
    Schon komisch....mit der "Windows-Kommandozeile" ist doch Start-->Ausführen gemeint oder?

  2. #2
    Oberstleutnant
    Avatar von Touji
    Registriert seit
    22.10.2002
    Alter
    35
    Beiträge
    11.542
    Name
    Fabian
    Mozilla hat das beim gestrigen Firefox-Update (2.0.0.5) bereits behoben.

    Firefox 2.0.0.5 beseitigt Sicherheitslücken [2. Update]

    Die Mozilla-Entwickler haben das Update 2.0.0.5 für ihren Web-Browser Firefox bereitgestellt. Er ist über die automatische Update-Funktion verfügbar, steht aber auch für Windows, Mac OS X und Linux in diversen Sprachen zum Download bereit. Firefox-

    Nutzern wird empfohlen, ihren Web-Browser schnellstmöglich zu aktualisieren.

    Neue Funktionen hat das Update nicht zu bieten. Es beseitigt anscheinend unter anderem die kürzlich bekannt gewordene Sicherheitslücke, die sich durch ein trickreiches Zusammenspiel mit Microsofts Internet Explorer auftut. Zumindest die Demonstrationsseite von Thor Larholm funktionierte bei einem Test von heise Security nach der Installation des Updates nicht mehr.

    In der Liste der beseitigten Schwachstellen ist das aktuelle Firefox-Update noch nicht aufgeführt. Kurz nach Bekanntwerden der Sicherheitslücke im Zusammenspiel mit dem Internet Explorer war aber bereits die Rede davon, dass sie noch in diesem Monat mit der Version 2.0.0.5 beseitigt werden soll – die Sicherheitsmeldungen für das 2.0.0.5er-Release scheinen derzeit aber noch in der Vorbereitung zu sein. Die Meldungen für die Firefox-Version 2.0.0.4 reichten bis MFSA-2007-17. Jetzt reichen die Advisories bis MFSA-2007-25; sie enthalten zwar bislang nur Dummy-Einträge, aber auch den Hinweis "Fixed in: Firefox 2.0.0.5". Insgesamt schließen die Entwickler daher wahrscheinlich acht Sicherheitslücken mit der neuen Browser-Version.

    [Update]:
    Mittlerweile haben die Entwickler die Informationen über die korrigierten Sicherheitslücken freigeschaltet. Tatsächlich werden acht Lecks gestopft, darunter die bereits angesprochene Lücke im Zusammenspiel mit dem Internet Explorer. Auch das Sicherheitsproblem beim Zugriff auf wyciwyg://-URIs, das am Wochenende bekannt wurde und für Spoofing genutzt werden konnte, ist behoben. Außerdem wurden als schwerwiegende Fehler unter anderem Bugs behoben, die zu Abstürzen mit der Möglichkeit führten, Code einzuschleusen, und ein Leck geschlossen, mit dem über den Event-Handler eine Rechteausweitung gelang.

    [2. Update]:
    Laut den Fehlermeldungen der Mozilla-Entwickler betreffen zwei Sicherheitslücken auch das Mailprogramm Thunderbird. Es kann abstürzen und dabei eingeschleuster Programmcode zur Ausführung kommen. Außerdem kann der Fehler im Zusammenspiel zwischen Internet Explorer und Firefox auch mit dem IE und Thunderbird auftreten. Thunderbird 2.0.0.5 wird in den Sicherheitsmeldungen zu den beiden Lücken zwar angekündigt, steht allerdings noch nicht zum Download auf den Mozilla-Servern bereit. Die neue Version sollte jedoch in Kürze hier erscheinen. (anw/c't)
    Quelle: http://www.heise.de/newsticker/meldung/92864

  3. #3
    Clanleader
    Avatar von Contempt
    Registriert seit
    26.08.2003
    Ort
    Jena
    Alter
    30
    Beiträge
    2.407
    Name
    René
    Clans
    How about: nope?
    Normal schon, ja.

    Thx Touji, dann bin ich ja beruhigt und brauchs nimmer machen.

  4. #4
    UF Supporter
    Mainforum-Moderator
    Avatar von Crash
    Registriert seit
    15.07.2004
    Ort
    Bremen
    Alter
    35
    Beiträge
    8.941
    Name
    Christian
    Nick
    Crash
    Jo danke, hab gerade mal aktualisiert^^

  5. #5
    Oberstleutnant
    Avatar von Touji
    Registriert seit
    22.10.2002
    Alter
    35
    Beiträge
    11.542
    Name
    Fabian
    Ja, bei sowas sind die Leute von Mozilla immer recht fix, bei IE dauern solche Mängelbeseitigungen mitunter Monate, wenn sie von MS überhaupt für wichtig genug zum Beseitigen betrachtet werden.

    BTW: Von Opera ist auch gerade eine neue Version (9.22) erschienen, welche auch ein paar Sicherheitsupdates enthalten soll.

  6. #6
    Oberstleutnant
    Avatar von Touji
    Registriert seit
    22.10.2002
    Alter
    35
    Beiträge
    11.542
    Name
    Fabian
    Zu Thunderbird ist auch ein Update draußen.


    Mailclient Thunderbird 2.0.0.5 bringt Sicherheitskorrekturen

    Die Entwickler der Mozilla-Foundation haben nun ihren Open-Source-Mailclient Thunderbird in Version 2.0.0.5 zum Download freigegeben. Wie bereits bei der Freigabe des Webbrowsers Firefox 2.0.0.5 angekündigt, korrigiert auch die neue Version des Mailclients zwei Sicherheitslücken, die in der neuen Firefox-Version geschlossen wurden. Die übrigen korrigierten Lecks im Webbrowser der Mozilla-Foundation betreffen den Mailclient nicht.

    In Thunderbird 2.0.0.5 sind Bugs beseitigt, die zu Abstürzen führen können, über die Angreifer Schadcode einschleusen können. Außerdem konnte der Fehler im Zusammenspiel zwischen Internet Explorer und Firefox auch mit dem IE und Thunderbird auftreten. Die Liste der korrigierten Sicherheitslecks haben die Entwickler bereits für Thunderbird 2.0.0.5 aktualisiert; über die Sicherheitskorrekturen hinaus gibt es noch einige Bug-Fixes.

    Thunderbird 2.0.0.5 steht in diversen Landessprachen-Versionen, darunter einer deutschsprachigen Ausgabe, auf der Webiste von mozilla.com zum Download bereit. Über die Update-Funktion der Software selbst wird die neue Version ebenfalls bereits angeboten. (jk/c't)
    Quelle: http://www.heise.de/newsticker/meldung/93015


    Löchriger Firefox Passwort Manager

    Die Mozilla-Entwickler haben ein bekanntes Loch im Passwort Manager von Firefox & Co gestopft – und doch ein Tor für Missbrauch offen gelassen. Der eingebaute Passwort Manager des Open Source Browsers speichert auf Wunsch des Benutzers Passwörter und füllt die entsprechenden Formularfelder beim nächsten Besuch dann automatisch aus. Dies geschieht nicht nur auf der Seite, auf der man das Passwort gespeichert hat, sondern auch auf jeder anderen Seite auf diesem Server, die ein ähnliches Formular enthält.

    Dürfen Anwender auf einem Server eigene Webseiten erstellen, wie das beispielsweise bei vielen Community-Sites der Fall ist, kann ein Angreifer das Login-Formular nachbauen und sich die automatisch eingesetzten Zugangsdaten auf seinen eigenen Server schicken lassen. Dazu konnte er früher ein Login-Formular sogar so gestalten, dass es die Daten beim Klick auf "Anmelden" direkt auf seinen eigenen Server überträgt. Trotzdem setzte Firefox die Daten automatisch ein. Das haben die Entwickler mittlerweile geändert. Sie überprüfen jetzt das Ziel der Übertragung, mit dem Resultat, dass die Demo von heise Security nicht mehr funktionierte. Einem Leser fiel jedoch auf, dass man das Ziel der Formularübertragung gar nicht ändern muss, sondern man die automatisch eingesetzten Daten via JavaScript auslesen und dann verschicken kann. Dazu muss die Seite lediglich via DOM (document.<form>.<field>.value) darauf zugreifen. Die aktualisierte Browsercheck-Seite von heise Security/UK demonstriert dies.

    Von heise Security befragt, bestätigte Mozilla-Entwickler Gavin Sharp, dass man sich des Problems bewusst sei. In der Tat hat man es bereits in der Fehlerdatenbank kontrovers diskutiert und weitergehende Maßnahmen verworfen. Das automatische Einsetzen von Passwörtern auf anderen Seiten erhöhe den Komfort auf Sites, die mehrere Login-Seiten enthalten. Und selbst wenn man diese Funktion entferne, sei die Gefahr des Passwortdiebstahls nicht gebannt. Denn sobald ein Angreifer Script-Code auf einem Server platzieren kann, sei er ohnehin in der Lage, die Seiten nach seinem Gusto zu manipulieren und dem Anwender Zugangsdaten abzuluchsen.

    Die Argumentation der Mozilla-Entwickler ist durchaus nachvollziehbar, verlässt sich das Sicherheitsmodell von JavaScript doch nahezu vollständig auf die Herkunft des Codes (Same Origin Policy). Wenn es einem Angreifer gelingt, seinen "bösen" Code auf einem Server zu platzieren, kann er im Browser des Anwenders alle Seiten dieses Servers nahezu beliebig manipulieren. Es bleibt dennoch ein flaues Gefühl, wenn ein Passwort Manager ganz ohne User-Interaktion Passwörter in gefälschte Formulare einträgt. Das erinnert doch sehr an eine Geldbörse mit einem Loch.

    Aus Anwendersicht heißt das auf alle Fälle, dass man dem Passwort Manager sein Passwort nicht anvertrauen darf, wenn eine Web-Site es anderen Usern erlaubt, eigene Seiten mit Script-Code zu erstellen. Sonst könnte jemand ganz einfach eine Seite basteln, die schon beim Öffnen heimlich das Passwort klaut. Zu dieser Kategorie von Sites gehören beispielsweise viele Content Management Systeme. Daran ändern auch spezielle Filterfunktionen wenig, die versuchen, zwischen gutem und bösem Code zu unterscheiden. Denn sie lassen sich erfahrungsgemäß meist irgendwie umgehen. Alternativ kann man JavaScript abschalten oder mit Erweiterungen wie NoScript reglementieren, was jedoch gerade im Zeitalter von Web 2.0 dazu führt, dass viele Seiten gar nicht mehr funktionieren. Ob hingegen der völlige Verzicht auf einen Passwort-Manager die Sicherheit letztlich erhöht, darf ebenfalls bezweifelt werden. Denn dies führt häufig dazu, dass Passwörter aus Bequemlichkeit zu einfach gewählt und oft wiederverwendet werden.
    Quelle: http://www.heise.de/newsticker/meldung/92994

    Javascript im Browser generell abzuschalten und nur bei vertrauenswürdigen Seiten zu erlauben, ist ohnehin eine gute Idee. Genauso kann man es bei den Cookies machen, wenn man nicht mehr Informationen über sich preisgeben will als unbedingt erforderlich und vor allem nur an Personen/Firmen, denen man halbwegs traut.

    Wenn man dann noch ab und zu die kompletten privaten Daten (Chronik, gespeicherte Passwörter, Cookies, Cache etc.), die der Browser gespeichert hat, löscht und dies vor allem macht, nachdem man mit einem wichtigen Passwort hantiert hat (z. B. Passwort beim Online-Shop, Webmailanbieter, Online-Banking/Paypal), hält sich das Risiko in Grenzen, dass wichtige Zugangsdaten über bekannte oder unbekannte Sicherheitslücken im Browser in die Hände von Unbefugten gelangen.

    Vor dem Löschen der Passwörter sollte man logischerweise sichergehen, dass man sie bei nächsten Anmelden noch weiß, ansonsten ist das Löschen keine gute Idee. (Passwörter im Klartext, also unverschlüsselt, in einer Datei auf dem Rechner liegen zu haben oder sie mit einem Klebezettel an den Monitor zu kleben ist logischerweise auch keine gute Idee. )

+ Antworten

Ähnliche Themen

  1. Chat funzt bei mir net warum ?
    Von AgAiNaWaY im Forum Häufig gestellte Fragen
    Antworten: 7
    Letzter Beitrag: 26.08.2001, 20:47
  2. Chat funzt bei mir net warum ?
    Von AgAiNaWaY im Forum United Talk
    Antworten: 1
    Letzter Beitrag: 17.08.2001, 01:29
  3. LAN-Treff bei obi ;)
    Von Snake im Forum OFF-Topic
    Antworten: 31
    Letzter Beitrag: 16.08.2001, 18:36
  4. LAN-Treff bei obi ;)
    Von Snake im Forum Tiberian Sun
    Antworten: 11
    Letzter Beitrag: 10.08.2001, 00:30
  5. Problem bei counter-strike!WICHTIG!
    Von CybaYoda im Forum Shooter
    Antworten: 7
    Letzter Beitrag: 01.08.2001, 08:59

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •