News : Alte Sicherheitslücke in Mozilla und MSIE

, 32 Kommentare

In ihren jeweils aktuellen Versionen sind Mozilla Firefox und Microsofts Internet Explorer, unabhängig davon, ob unter Windows XP das Service Pack 2 installiert ist, für eine erstmals vor sieben Jahren entdeckte Lücke anfällig, die Phishing erheblich erleichtert.

Nachdem die Sicherheitslücke aus dem Jahr 1998 in Vergessenheit geraten war, entdeckte Secunia im Juli 2004, dass damals aktuelle Browser wieder dafür anfällig waren. Betroffen war jeder grafische Browser, der auch nur einen im Ansatz wahrnehmbaren Anteil des Browser-Markts für sich behaupten konnte: Die Mozilla-Browser, Netscape, Camino, Opera, Konqueror, Safari und Microsofts Internet Explorer. Mit Ausnahme von Microsoft schlossen die Hersteller die Sicherheitslücke und schienen – die genannte Ausnahme einmal außenvor gelassen – ihre Lektion gelernt zu haben. Aktualisierte Versionen der Browser, unter anderem Mozilla Firefox 0.9, die Mozilla Suite 1.7 und Opera 7.52, konnten als sicher betrachtet werden.

Nun macht Secunia darauf aufmerksam, dass in aktuellen Versionen der Mozilla-Browser, unter anderem in Form von Mozilla Firefox, der Mozilla Suite, Netscape und Camino, wieder für diese Lücke anfällig sind. Der Internet Explorer war es die ganze Zeit über, da Microsoft nie einen Patch veröffentlicht hat. Löbliche Ausnahmen sind Opera sowie die beiden verwandten Browser Konqueror für KDE/Linux und Safari für Mac OS X, die in aktuellen Versionen nicht mehr für die Sicherheitslücke anfällig sind.

Secunia hat eine Demonstration der Sicherheitslücke bereitgestellt. Diese funktioniert, wie dort auch im Text steht, nur dann, wenn man die Links in neuen Fenstern anstatt in neuen Tabs öffnet. Da die Sicherheitslücke sich nur bei Verwendung von Frames auf einer Website ausnutzen lässt ist das Potenzial eingeschränkt; trotzdem sollte sie keineswegs auf die leichte Schulter genommen werden.

Wann man mit neuen Versionen der Mozilla-Browser rechnen darf sowie ob Microsoft sich eventuell unter Umständen doch noch dazu durchringt einen Patch bereitzustellen, steht derzeit noch nicht fest. Als Workaround wird empfohlen, das gleichzeitige Surfen auf vertrauenswürdigen und nicht vertrauenswürdigen Seiten zu unterlassen.