Mit Hilfe unkonventionell gepackter Firefox-Erweiterungen kann eine Sicherheitslücke im chrome-Protokoll des Mozilla-Browsers ausgenutzt werden, um Benutzerdaten auszulesen.
Auf einer Hacker-Website ist ein Demo-Exploit veröffentlicht worden, der die Ausnutzung einer bis dahin noch nicht bekannten Schwachstelle in Firefox aufzeigt. Er demonstriert den Zugriff auf Einstellungen des Mail-Programms Thunderbird. Voraussetzung ist, dass eine Firefox-Erweiterung installiert ist, die nicht wie üblich als JAR-Archiv verpackt ist. Mit einer speziell präparierten Web-Seite könnten Angreifer Scripte einsetzen, die auf chrome://-URLs zugreifen und Daten auslesen, die an sich nicht zugänglich sein sollten.
Wie die Mozilla-Sicherheitschefin Window Snyder inzwischen bestätigt hat, filtert Firefox Verzeichnisangaben wie "../" (Wechsel in eine höhere Ebene) unter Umständen nicht aus. Script-Code in einer präparierten Web-Seite kann so Bilder, weitere Scripte oder Stylesheets von bekannten Speicherorten auf der lokalen Festplatte laden.
Mit Hilfe eines solchen Angriffs könnten Daten ausspioniert werden, die sich für weitere Angriffe ausnutzen lassen, etwa für Phishing. So können Angreifer auch Informationen über weitere installierte Erweiterungen erhalten. Erweiterungen wie "Download Statusbar" und "Greasemonkey" sind Beispiele für Add-ons, die nicht als JAR-Archiv verpackt sind und daher diese Tür für Angriffe öffnen können. Diese beiden sind inzwischen in einer neuen Fassung erhältlich, die in einem JAR-Archiv steckt und daher nicht mehr ausgenutzt werden kann.
Die Mozilla-Entwickler arbeiten in der Zwischenzeit an einer Lösung, die im nächsten Update für Firefox enthalten sein wird. In der Zwischenzeit können sich Firefox-Nutzer mit der Erweiterung "Noscript" schützen, die auch Zugriffe auf das chrome-Protokoll blockiert.
Quelle.
http://www.pcwelt.de/index.cfm?pid=1736&pk=144276
Zitieren
