Das Mozilla-Team hat einen Patch für eine von Emmanoul Kellis gemeldete
Sicherheitslücke entwickelt. Sie ermöglicht es, mit Mozilla/Firefox Inhalte
einer beliebigen Webseite im Kontext eines fremden Zertifikats anzuzeigen.
Das in der Statusbar des Webbrowsers angezeigte Schloss wird normalerweise
nur als geschlossen angezeigt, wenn ein gültiges Zertifikat für die Seite vorliegt
und alle dargestellten Inhalte auch exklusiv von diesem Server stammen. Werden
andere, von nicht zertifizierten Seiten stammende Inhalte eingebettet (beispielsweise
mit einem Frame), sollte das Schloss durchgestrichen sein, um den Anwender
arauf hinzuweisen.
Über einen Trick, der auf einem Caching-Problem in Mozilla beruht, ist es jedoch
möglich, beliebige andere Seiten im Kontext von gesicherten SSL-Seiten anzeigen
zu lassen, ohne dass sich das Schloss verändert -- dem Nutzer wird eine gesicherte
Verbindung vorgekaukelt, die aber gar nicht besteht. Allerdings wird in der
Addresszeile dann auch die URL der externen Seite angezeigt, was das Problem
abschwächt. Dennoch kann dieser Fehler gefährlicher werden, wenn er in Kombination
mit Adresszeilen-Spoofing verwendet wird. Die Mozilla-Entwickler haben bereits
Patches entwickelt, die über Bugzilla zur Verfügung stehen, sie sind aber in den
Vollversionen der Websuite beziehungsweise von Firefox momentan noch nicht
implementiert.
Quelle:heise Security
GreeTs
@Jack Sparrow:pfct: