Firefox: Cookie-Klau per Bookmarks

3. April 2007, 14:57
17 Postings

Eingebettetes Javascript wird im falschen Kontext ausgeführt - Veröffentlichung der Version 2.0.0.2 verzögert sich weiter

Der polnische Sicherheitsspezialist Michael Zalewski weist auf eine bislang unbekannte Sicherheitslücke im Firefox hin. Über einen Trick lassen sich seitenspezifische Cookies auslesen und somit BenutzerInnendaten ausspionieren.

Kontext

Das Problem liegt daran, dass ein in einem Bookmark enthaltenes Javascript im falschen Kontext ausgeführt wird, und zwar in dem der gerade angezeigten Seite und nicht im dem derer, die aufgerufen werden soll. Voraussetzung dafür ist freilich, dass die BenutzerInnen ein solcherart manipuliertes Bookmark abspeichern und aufrufen.

Demo

Dass der Bug aber durchaus eine reale Gefährdung demonstriert Zalewski mit einer Beispielseite. Diese zeigt vor, wie leicht es ist, auf diese Art Cookies von Google - zum Beispiel die Authentifizierungsdaten von GMail - zu kopieren. Eine Seite die bei Firefox-Installationen meist als Startseite eingerichtet ist.

Diskussion

In der Bug-Datenbank von Mozilla wird derzeit über das Problem und eventuelle Lösungen diskutiert. So steht etwa zur Diskussion die Einbettung von Javascript in Bookmarks gänzlich zu untersagen, und dies explizit nur mehr für Bookmarklets - die ja zur Ausführung von kleinen Code-Stücken gedacht sind - zu erlauben.

Planung

Bleibt abzuwarten, ob der Bug zu einer weiteren Verschiebung von Firefox 2.0.0.2 führen wird. Das kommende Stabilitätsupgrade hat gerade erst einen weiteren Release Candidate - den mittlerweile fünften - spendiert bekommen. Ein in letzter Minute aufgetauchter Bug hatte die neue Testversion nötig gemacht.

Fixes

Aktuell visiert man den 27. Februar als Release Termin, zuvor hatte man den 22. Februar vorgesehen gehabt. Die neue Release soll wieder eine ganze Reihe von Bug Fixes bringen, darunter auch die Behebung einiger Sicherheitslücken. Dazu gehört ein anderes von Zalewski unlängst öffentlich gemachtes Problem des Browsers, das für Cross-Site-Scripting-Attacken ausgenutzt werden kann. (apo)

  • Bild nicht mehr verfügbar

Share if you care.