Unsichere Zeiten für Firefox

Betrüger können in Firefox die Anzeige von Webadressen, Verschlüsselungszertifikaten (SSL) sowie die Infos in der Statusleiste fälschen. Dies berichtet das dänische Sicherheitsunternehmen Secunia [1]. Möglich macht das ein Fehler des Webbrowsers im Umgang mit Umlautdomains (IDN) [2]. Der Anwender muss dazu nur auf eine Homepage mit entsprechend manipuliertem Domainnamen surfen. Der Trick lässt sich etwa dazu benutzen, den Anwender auf einer vermeintlich sicheren Website zu wähnen, auf die er über einen Link in einer E-Mail gelockt wurde. Betroffen sind neben den Firefox-Versionen 0.x und 1.x ebenfalls weitere Browser wie Mozilla, Opera, Safari und Konqueror. Secunia empfiehlt als Schutz, die Adressen von kritischen Websites (z.B. fürs Online-Banking) immer manuell einzutippen.

Fast gleichzeitig hat der Sicherheitsspezialist Michael Krax drei weitere Schwachstellen in aktuellen Firefox- und Mozilla-Versionen entdeckt, die er mit Firedragging, Firetabbing und Fireflashing bezeichnet [3]. Über sie können unter anderem ausführbare Dateien aufs Desktop geschmuggelt, Cookies [4] ausgelesen und schädlicher Code ausgeführt werden. Der Benutzer muss dazu jeweils mit der manipulierten Website interagieren, indem er etwa ein manipuliertes Bild auf den Desktop zieht. Für die drei Schwachstellen gibt es noch keinen Patch. Sie werden in der nächsten Firefox-Version 1.0.1 behoben.