symlink.ch
Wissen Vernetzt - deutsche News für die Welt
 
symlink.ch
FAQ
Mission
Über uns
Richtlinien
Moderation
Einstellungen
Story einsenden
Suchen & Index
Ruhmeshalle
Statistiken
Umfragen
Redaktion
Themen
Partner
Planet
XML | RDF | RSS
PDA | WAP | IRC
Symbar für Opera
Symbar für Mozilla

Freunde
Benutzergruppen
LUG Switzerland
LUG Vorarlberg
LUGen in DE
SIUG
CCCZH
Organisationen
Wilhelm Tux
FSF Europe
Events
LinuxDay Dornbirn
BBA Schweiz
CoSin in Bremgarten AG
VCFe in München
Menschen
maol
Flupp
Ventilator
dawn
gumbo
krümelmonster
XTaran
maradong
tuxedo

 
Firefox: Komplette Browser via XUL faken
Veröffentlicht durch XTaran am Montag 02. August 2004, 13:27
Aus der Nobody's-perfect Abteilung
Security Ein AF schreibt: "Ist zwar schon von Freitag, aber es kam noch nicht einmal bei Heise: Secunia hat ein unschönes Sicherheitsloch in Mozilla bzw. Firefox entdeckt: Per XUL kann man in einem Browserfenster ohne Rahmen eine komplette Browseroberfäche faken und das funktioniert leider auch beeindruckend gut, wie das Demo zeigt. Zuerst gelesen auf Bugtraq, dann im Bugreport den Verweis auf Slashdot gefunden."

Der AF weiter: "Ebenfalls unschön: Dieser Bug war zirka 5 Jahre (seit 1999!) als "confidential", also als vertaulich und nicht zu veröffentlichen markiert. Security by Obscurity par excellence... Als ob das die Open-Source-Welt nicht besser könnte...."

Münchens Linux-Migration von Software-Patenten gestoppt? | Druckausgabe | Kryptomaschinen  >

 

 
symlink.ch Login
Login:

Passwort:

extrahierte Links
  • Mozilla Firefox
  • BugTraq
  • Heise
  • Mozilla
  • Open Source Initiative
  • Slashdot
  • unschönes Sicherheitsloch
  • Demo
  • auf Bugtraq
  • Bugreport
  • auf Slashdot
  • Mehr zu Security
  • Auch von XTaran
    •

    Diese Diskussion wurde archiviert. Es können keine neuen Kommentare abgegeben werden.
    IE (Score:1)
    Von c-mon (simon [bei] blubb (punkt) li) am Monday 02. August 2004, 14:31 MEW (#1)
    (User #1208 Info) http://blubb.li
    Ich freu mich schon auf den ersten Exploit, der einen IE vortaeuscht ;)
    -- PPC: Penguin Powered Computing
    Re: IE (Score:2)
    Von tL (dave bei frozenbrain punkt com) am Monday 02. August 2004, 14:47 MEW (#2)
    (User #981 Info) http://www.frozenbrain.com
    Mit HTML und JavaScript ist das schon lange möglich. Vor allem, da die meisten User die Farben etc von ihmrem GUI nicht verändern. Es ist ja nun wirklich nicht schwierig, ein Pop-up zu öffnen, welches weder Menu, Buttons noch Statusbar hat. Das Problem: Die "GUI" muss erst noch als Bilder nachgeladen werden. Aber auch hier kann mit JavaScript ohne Probleme nachgeholfen werden.


    tL

    --
    Dieser Kommentar wurde von tL für eine Fabrik voller besoffener GEZ-Spitzel generiert.
    Re: IE (Score:1)
    Von bhaak (bhaak@gmx.net) am Monday 02. August 2004, 17:12 MEW (#6)
    (User #1161 Info) http://bhaak.dyndns.org/
    Schon passiert

    Gefunden auf Bugzilla: weak XUL security allows chrome UI spoofing ("phishing" attack)
    Re: IE (Score:1)
    Von c-mon (simon [bei] blubb (punkt) li) am Monday 02. August 2004, 19:01 MEW (#7)
    (User #1208 Info) http://blubb.li
    das ist ein billiges fake, die schaltflaechen sind ja gar nicht klickbar
    -- PPC: Penguin Powered Computing
    Re: IE (Score:1)
    Von bhaak (bhaak@gmx.net) am Monday 02. August 2004, 22:42 MEW (#8)
    (User #1161 Info) http://bhaak.dyndns.org/

    Müssen sie auch nicht. Auf so eine Seite kommt das Opfer nicht durch normales Surfen, sondern er bekommt diesen Link z.B. per Mail und dann wird er eher direkt seine Daten eingeben.

    Ausserdem ist es auch im IE kein Problem, einen ausgefeilteren Fake zu basteln. Dem normalen Klick-und-weg User kann man auch ein beliebiges ActiveX-Programm unterjubeln.

    Ich würde sogar behaupten, dass die grosse Variabilität von Mozilla in diesem Fall sowohl eine Schwäche als auch eine Stärke ist. Bei mir ähnelt die Spoofversion nur entfernt meiner richtigen Firefoxoberfläche. Der Spoof kann meinen eingestellten Theme verwenden, aber das war's dann schon. Der Rest ist auf den ersten Blick als anders zu erkennen.

    Bei einem 0815-Benutzer, der nichts an den Default-Einstellungen ändert, dürfte es schwieriger als Fake zu erkennen sein.


    Sicherheitsloch ? (Score:2, Informativ)
    Von RipClaw am Monday 02. August 2004, 15:11 MEW (#3)
    (User #1227 Info)
    Ich würde es wohl eher eine Designschwäche nennen.
    Die Sicherheit des System selbst wird dadurch nicht aktiv gefährdet, sondern der Benutzer lediglich getäuscht.

    Dazu muß man aber sagen, daß die Täuschung schon aber der Phishing EMail beginnt, die das Opfer auf die Seite lockt.

    Vermutlich wird in Zukunft im Firefox und im Mozilla eine Whiteliste existieren, mit der man den Zugriff auf chrome:// Objekte steuern kann.

    MS wird wohl in Zukunft unter Longhorn mit XAML vor dem gleichen Problem stehen.

    kam schon lange... (Score:2, Informativ)
    Von feuman am Monday 02. August 2004, 15:26 MEW (#4)
    (User #1501 Info) http://feuman.net
    ...bei heise: http://www.heise.de/newsticker/meldung/49608

    wie will man dann das bloss seiner mutter/grossmutter/sonstigernichtinternetprofi erklären?

    "Also das sieht zwar aus wie mozilla, ist es aber nicht, deshalb darfst du nur [...] "

    wieso mussten die "kriminellen" bloss das internet entdecken... *kopfschüttel*

    gruss feuman

    sidebar.ch


    Re: kam schon lange... (Score:0)
    Von Anonymer Feigling am Monday 02. August 2004, 15:39 MEW (#5)

    Wieso musste überhaupt jemand das Internet entdecken?
    Und wieso muss - da es nun doch entdeckt worden ist - jeder meinen, er müsse es "benutzen"?

    Naja... grundsätzlich sind für unerfahre Benutzer schon viel schlechter gemachte Spoofs gefährlich.
    Re: kam schon lange... (Score:3, Tiefsinnig)
    Von P2501 am Tuesday 03. August 2004, 12:23 MEW (#9)
    (User #31 Info) http://www.p2501.ch/
    "Geben Sie Benutzernamen und Passwort nur ein, wenn sie nicht über einen Link auf die Seite gekommen sind, also die Adresse selbst eingetragen oder ein Lesezeichen verwendet haben." Recht so?

    --
    Linux ist eine Turboprop. HURD ist ein Düsenjetprototyp, der seinen Heimatflughafen nie verlassen hat.
    Re: kam schon lange... (Score:2)
    Von P2501 am Tuesday 03. August 2004, 16:05 MEW (#10)
    (User #31 Info) http://www.p2501.ch/

    Nachtrag: Hab grad mal nachgeschaut, was eigentlich Yellownet (Onlinebanking der Schweizer Post) empfiehlt. Dort steht folgendes:

    • Benutzen Sie für das Login nur die Internetadressen www.postfinance.ch und die dort vorhandenen Links oder www.yellownet.ch
    • Antworten Sie nie auf E-Mails mit der Aufforderung zur Bekanntgabe Ihres Passwortes oder Ihrer Sicherheitsnummern und klicken Sie nie auf dort vorhandene Links.

    --
    Linux ist eine Turboprop. HURD ist ein Düsenjetprototyp, der seinen Heimatflughafen nie verlassen hat.

    Linux User Group Schweiz
    Durchsuche symlink.ch:  

    Never be led astray onto the path of virtue.    		 trash.net

    Anfang | Story einsenden | ältere Features | alte Umfragen | FAQ | Autoren | Einstellungen