Eine in Firefox 2.0.0.2 und Thunderbird geschlossene Schwachstelle ist nach Angaben des Sicherheitsspezialisten Stefan Esser auch im Internet Explorer 7 und Opera 9 zu finden. Zwar seien die Hersteller im vergangenen Jahr vorab über das Problem informiert worden, laut Esser habe aber Opera überhaupt nicht auf den Fehlerbericht reagiert. Microsoft habe geantwortet, allerdings mit dem Vorwurf, Esser habe den Fehler bereits öffentlich gemacht und man wolle in solchen Fällen eine Vorabbenachrichtigung. Dann habe Esser nichts mehr von Microsoft gehört.
Im Vergleich mit den anderen sieben am Wochenende geschlossenen Lücken ist die XSS-Lücke nicht sonderlich kritisch. Sie vereinfacht nur das Unterlaufen von JavaScript-Filtern, die Cross-Site-Scripting-Angriffe (XSS) erschweren sollen. Allerdings entwickelt sich XSS ohnehin zur Seuche, von der viele Webseiten und Browser betroffen sind, sodass eine Minimierung solcher Fehler bei allen Produkten wünschenswert ist.
Das von Esser entdeckte Problem liegt an der Art, wie Browser mit Webseiten umgehen, wenn das Character-Encoding der Seite nicht definiert ist. So soll es möglich sein, einer Seite einen als UTF-7 (Unicode Transformation Format-7) codierten Cross-Site-Scripting-Code unterzuschieben, etwa als Kommentar zu einem Blogeintrag, der beim späteren Aufruf im Browser in einem IFrame des Anwenders im Kontext der aufgerufenen Seite ausgeführt wird.
In Opera 8 und dem Internet Explorer 6 soll die Schwachstelle laut Fehlerbericht nicht zu finden sein.
Siehe dazu auch:
* Multiple Browsers Cross Domain Charset Inheritance Vulnerability, Fehlerbericht von Stefan Esser
* Improvements to help protect against Cross-Site Scripting attacks, Fehlerbericht der Mozilla Foundationn
Quelle und Links :
http://www.heise.de/security/news/meldung/85845
