Lücke im Passwort-Manager von Firefox 2.0

3. April 2007, 14:53
19 Postings

Schwachstelle soll Phishing-Attacken ermöglichen - Gefälschte Formulare können zum Risiko werden

Bei Bugzilla, der Fehlerdatenbank der Mozilla Foundation wird derzeit heftig über eine Schwachstelle in Firefox 2.0 diskutiert. Unter dem Titel Cross-Site Forms + Password Manager = Security Failure geht es um die Möglichkeit, eine Schwachstelle im Passwort-Manager von Firefox 2.0 für eine Phishingattacke zu nutzen.

Automatisch, aber keine Kontrolle

Die Schwachstelle im Passwort-Manager soll eine neue Möglichkeit bieten, Passwörter auszuspionieren. Firefox trägt NutzerInnennamen und Passwörter automatisch in Anmeldeformulare bekannter Seiten ein, sofern dies die AnwenderInnen dem Firefox-Passwort-Manager erlauben, die entsprechenden Login-Daten dafür zu speichern. Da sich der Manager aber nur merkt zu welcher Domain diese Login-Daten gehören, nicht aber aus welchem Unterverzeichnis und welcher HTML-Datei das Formular stammte und auch nicht überprüft wird, an welche Adresse die automatisch eingetragenen Daten verschickt werden, ist ein Ausspionieren möglich.

Gefälschte Formulare

AngreiferInnen könnten nun etwa ein gefälschtes Anmeldeformular im Netz platzieren - etwa bei MySpace.com, in welches Firefox dann Namen und Passwort des MySpace-Besuchers selbstständig einträgt. Zum Abschicken eines entsprechenden Formulars ist zwar eine Bestätigung durch die UserInnen notwendig, doch warnen Experten, dass dies sehr leicht zu verschleiern wäre und leicht getarnt werden könne.

Schon in Umlauf

Laut letzten Meldungen gibt es auf MySpace.com bereits einen Fall, der diesen Trick ausnutzt, um abgephishte Login-Daten an einen Lycos-Server zu schicken. Während Firefox 2 das Ziel beim Abschicken nicht überprüft, merkt sich der Internet Explorer 7 zu welchem Unterverzeichnis das Formular gehört. Auch Opera-UserInnen sind von dieser Lücke nicht betroffen.(red)

  • Bild nicht mehr verfügbar
Share if you care.