Totgesagte leben länger: Immer noch können Webseiten Inhalte in Browser-Fenstern manipulieren, die nicht zu ihrer Domain gehören. So sollte etwa eine Heise-Seite keine Inhalte einer Online-Banking-Seite verändern können, die in einem anderen Fenster angezeigt wird. Dieses Problem tauchte erstmals 1998 in so gut wie allen Browsern auf und sollte eigentlich längst gepatcht sein. Sieben Jahre danach, also Anfang Juli 2004, entdeckte sie der Sicherheitsdienstleister Secunia erneut und veröffentlichte eine Demo dazu.
Offenbar hat sich seitdem keiner der Hersteller für die Schwachstelle interessiert, denn sie funktioniert immer noch -- obwohl damit Phishing-Angriffe möglich wären. Das Problem existiert auch mit Firefox 1.0.4, Mozilla 1.7.8 und dem Internet Explorer unter Windows XP SP2 mit allen Patches, worauf Secunia in seinen aktuellen Advisories hinweist. Zwar sind nur Seiten angreifbar, die Frames in ihrem Auftritt einsetzen, davon scheint es aber immer noch genügend zu geben. Secunias neue Demo benutzt für den Test eine Seite von Microsoft. Die meisten Online-Banking-Auftritte von Banken enthalten seit dem Bekanntwerden der Browserlücken im letzten Jahr keine Frames mehr.
Quelle und Links :
http://www.heise.de/newsticker/meldung/60297
