Home  >  Sicherheit  > Artikel 50060

spacer

Browser-Attacken werden trickreicher

Ein Security-Forscher demonstriert, wie es Angreifern künftig auch ohne Lücken in Browser-Erweiterungen gelingen kann, Schad-Software einzuschleusen.

blue_quad von IDG . (06.01.2010)

vergrößen Webangriffe verlagern sich vom Missbrauchen von Sicherheitslücken in Windows zur Nutzung von Schwachstellen im Browser sowie in dessen Plug-Ins. Adobes Flash- und PDF-Betrachter sind unter den häufigsten Zielscheiben.

Robert «RSnake» Hansen demonstriert auf der Website ha.ckers.org, wie man mittels JavaScript einen Download der Firefox-Erweiterung «Noscript» vortäuschen kann, dabei dem Opfer jedoch ein anderes Programm unterschiebt. Dazu zeigt die Demo-Seite zunächst einen Download-Button für Noscript an, der die entsprechende Seite auf der Mozilla-Website aufruft – mit SSL-Zertifikat und allem, was dazugehört.
Eine JavaScript-Funktion ersetzt dann diese URL nach zwei Sekunden durch die des einzuschleusenden Programms. Hansen benutzt in seiner Demonstration das umbenannte Noscript-Add-On. Ein realer Angreifer würde versuchen, seinem Opfer beispielsweise einen Key-Logger unterzujubeln. Er würde wohl auch eine Website mit einer dem Original sehr ähnlichen URL verwenden, damit der Trick nicht auffällt.

Dann könnte der betroffene User leicht übersehen, dass der Download nicht von «addons.mozilla.org», sondern von einer gefälschten Website wie «addons.mozilla.org.evil.com» erfolgen soll – und ihn brav erlauben. Der Trick funktioniert ganz ähnlich auch mit dem Internet Explorer.
Ein realer Angreifer würde potenziellen Opfern etwa ein vorgeblich erforderliches Multimedia-Plug-In zum Anzeigen eines Videos zum Download aufdrängen. Diese Masche benutzen Onlinekriminelle bereits seit Jahren.



  
Drucken Drucken
spacer
WeiterempfehlenWeiterempfehlen
spacer
Kommmentar Kommentieren       
spacer


Anzeige
Social Bookmarks
Favoriten Twitter Facebook WordPress Blogger
PCtipp als APP
PCtipp App

Laden Sie die PCtipp-App kostenlos auf Ihr Smartphone und bleiben Sie auf dem Laufenden.

 

iOS-Version
Android-Version
zum Artikel
Ähnliche Artikel
Malware-Top-Ten

BitDefender präsentiert seine weltweite Malware-Top-Ten des vergangenen Monats. Dabei hat sich ein PDF-Exploit von Rang 5 an die Spitze geschoben. Malware-Top-Ten

Patch-Day: Gefahr bei Windows 7 bleibt

Zum Patch-Day von morgen Dienstag wird nur eine relativ harmlose Sicherheitslücke geschlossen. Die DoS-Schwachstelle unter Windows 7 bleibt bestehen.... Patch-Day: Gefahr bei Windows 7 bleibt

Conficker verliert Zombie-PCs

Nahezu über Nacht hat das Conficker-Botnet fast eine Million weniger PCs in seinem Netzwerk verzeichnet. Warum so viele Zombie-Rechner wegfallen, ist... Conficker verliert Zombie-PCs

Shoppingcenter Arbeitsplatz

Mitarbeiter, die nur wenig Zeit haben, von Geschäft zu Geschäft zu laufen, nutzen gerne das Firmennetzwerk für den Onlineeinkauf und wähnen sich darin... Shoppingcenter Arbeitsplatz

Spammer lernen Deutsch

Spam-Versender adressieren ihren Werbemüll gemäss Retarus Schweiz zunehmend zielgruppenspezifisch an kleinere Verteiler, lokal an Sprache und Region angepasst.... Spammer lernen Deutsch

Mehr Sicherheit
Aktuelle Bedrohungen
Aktuell: PayPal-Missbrauch

Aktuell werden in der Schweiz wieder gefakte PayPal-Mails verschickt. Keine Panik, der Zugriff auf Ihr Konto ist nicht eingeschränkt. Aktuell: PayPal-Missbrauch

Facebook muss Privatsphäre respektieren

Die US-amerikanische Handelsbehörde FTC hat sich mit dem sozialen Netzwerk im Streit um Privatsphäre-Einstellungen geeinigt. Facebook darf Änderungen... Facebook muss Privatsphäre respektieren

Die 25 miesesten Passwörter

Die Sicherheitsspezialisten von Splashdata haben die schlechtesten Passwörter des Jahres 2011 ermittelt. Hier die Top 25: Ist Ihr Passwort auch dabei? Die 25 miesesten Passwörter

Facebook entlarvt Ekel-Spammer

Facebook hat die Verantwortlichen für die jüngsten Spam-Angriffe auf das soziale Netzwerk gefunden. Facebook entlarvt Ekel-Spammer

Hacker legt Sicherheitslücke in iOS offen

Ein bekannter Sicherheitsforscher hat eine bislang nicht bekannte Schwachstelle in iOS ab Version 4.3 entdeckt und mit einer vermeintlich harmlosen App... Hacker legt Sicherheitslücke in iOS offen

Mehr Sicherheit
Leser empfehlen
FlashPlayer-Update: So gehts richtig

Der FlashPlayer von Macromedia bzw. Adobe bedarf hie und da einer Generalüberholung - auch aus Sicherheitsgründen. FlashPlayer-Update: So gehts richtig

Tool-Tipp: sicherer Surfen im Internet

Wer sich ungeschützt im Internet herumtreibt, setzt seinen Rechner vielen Gefahren aus. Hier finden Sie 15 Tools, damit Sie auf der sicheren Seite surfen. Tool-Tipp: sicherer Surfen im Internet

Wichtiges Java-Update: So gehts richtig

Ist Ihre Java-Software aktuell oder serviert sie Ihnen nur kalten Kaffee? Wichtiges Java-Update: So gehts richtig

Fieser Kinderporno-Schädling im Umlauf

Derzeit ist ein Schadprogramm im Umlauf, dass Anwender mit einer angeblichen Busse wegen Besitzes von Kinderpornographie zur Kasse bittet. Betroffene... Fieser Kinderporno-Schädling im Umlauf

Security-Experiment: schutzlos im Web!

Der PCtipp hat sich unbekümmert und ohne Schutz ins Internet gewagt. In kurzer Zeit landeten zig Schädlinge auf unserem Computer. Wir erklären, wo Sie... Security-Experiment: schutzlos im Web!

Mehr Sicherheit
ICT-PRESSETICKER
Kroll Ontrack: Frostschutz für die Datenschätze: Handy, Notebook & Co. vor Winterschäden schützen
CA Technologies ernennt Gonçalo Leitão zum Vice President Services für EMEA
COMPUDATA / B2Bnet: Rückblick auf ein nachhaltiges Geschäftsjahr 2011
Hochschule Luzern - Technik & Architektur: Beruf und Studium ideal miteinander verbinden
IDG Communications AG frischt den Onlineauftritt von IDG.ch auf
Mehr
ANZEIGE
PROMOTION
PCTIPP ABONNIEREN
Holen Sie sich monatlich die besten Tipps und Tricks für den PC-Alltag nach Hause.
1-Jahres-Abo 54.-
2-Jahres-Abo 95.-
Geschenkabo
NEWSLETTER
Wir halten Sie auf dem Laufenden: Der Newsletter liefert Ihnen jeden Werktag das Aktuellste aus der Welt von Computer und Internet.

Anmelden
RSS-FEEDS
Die PCtipp-Website bietet RSS-Feeds an. Holen Sie sich die Schlagzeilen von PCtipp.ch schnell und bequem auf den Desktop oder bauen Sie diese in Ihre eigene Webseite ein.
zu den Feeds
Anzeige