Mitte Juni gab es
erste Berichte über eine Lücke, die Microsoft schon Anfang des Jahres entdeckt hatte. Sie soll Man-in-the-Middle-Angriffe auf HTTPS-Verbindungen zulassen. Das Mozilla-Projekt stufte das Risiko seinerzeit als hoch ein und versah seinen Browser mit entsprechenden Patches. Die Lücke betrifft, wie jetzt bekannt wurde, offenbar auch viele andere Browser.
Ein speziell präparierter Proxy kann HTML- und Skript-Code in den Kontext einer eigentlich gesicherten Seite einschleusen. Damit wäre der Identitäts-Diebstahl bei Cookie-basierter Authentifizierung oder auch das Verändern der angezeigten Daten möglich. Ein vor wenigen Tagen modifiziertes
Advisory von SecurityFocus nennt jetzt auch Chrome, Opera, Safari und Internet Explorer als betroffene Produkte.
Quelle :
www.heise.de
