Die freien Web-Browser Firefox 1.0 und Mozilla 1.7.5 enthalten unter Windows drei Schwachstellen, mit denen Angreifer Benutzer überlisten können, ausführbare Dateien auf ihr System zu laden, die Konfiguration des Browsers ungewollt zu verändern und untergejubelte Befehle auf dem PC auszuführen. Der Sicherheitsspezialist Michael Krax hat zu jedem der Fehler eine Demo-Seite veröffentlicht, die das Problem veranschaulicht. Bei allen ist zwar eine erhebliche Interaktion des Nutzers notwendig, allerdings dürfte nicht allen Anwendern die Manipulation unbedingt auffallen.
Die erste Demo Firedragging zeigt das Fehlverhalten von Firefox und Mozilla beim Drag & Drop von Objekten aus einer Web-Seite heraus auf den Desktop. Normalerweise erlaubt der Browser dies nur für Bilder. Bei anderen Objekten wie ausführbaren Dateien legt er nur einen Link dorthin an. Allerdings reagiert er großzügiger bei so genannten Hybrid-Dateien, die beides sind, nämlich sowohl Bild als auch Batch-Datei. Bei der Darstellung des Objektes in einer Web-Seite zeigt er zwar das Bild an, beim Ziehen auf den Desktop wird daraus plötzlich eine Batch-Datei. Der unbedarfte Anwender dürfte sich wundern, was aus seinem Bild geworden ist und unter Umständen auf die Batch-Datei doppelklicken -- die bekannte Endung .bat wird ja standardmäßig unter Windows ausgeblendet. Einen ähnlichen Bildtrick hat schon der Sicherheitsexperte http-equiv bei einer Lücke im Internet Explorer eingesetzt. Allerdings war dort HTML-Code in einem GIF eingebettet, statt der Batch-Befehle in der vorliegenden Demo.
Der zweite Fehler betrifft den Javascript Security Manager und das Tabbed Browsing. Der Manager verhindert, dass Javascript-Links Inhalte in bereits geöffneten Fenstern aufrufen können. Zieht man aber einen derartigen Link auf einen Tab, so greift der Security Manager nicht ein. Zwar ist das Ziehen von Links auf vorhandene Tabs zum Öffnen einer neuen Seite keine häufig angewendete Methode, allerdings sind die Auswirkungen umso bedenklicher. So kann der Angreifer bei Web-Seiten mit Authentifizierung den Cookie auslesen. Bei Web-Seiten, die Software installieren dürfen -- etwa update.mozilla.org --, bekommt man plötzlich die Installation von Software angeboten. Ist in einem Tab die Konfigurationsseite about:config geöffnet, so führt das Ziehen des Links dorthin zum Ausführen von beliebigen Befehlen des Angreifers. In der Demo Firetabbing findet man beispielsweise unter c:\ die Datei booom.txt wieder.
Mit der letzten Demo Fireflashing zeigt Krax, wie man das Flash-Plugin und den Opacity-Filter (Durchsichtigkeit) von Firefox missbrauchen kann, um about:config in einem unsichtbaren Frame darzustellen. Ein Doppelklick auf eine bestimmte Stelle in diesem Frame schaltet dann den Parameter um, auf den der Cursor zeigt. Der Anwender bleibt allerdings in dem Glauben, auf ein leeres Feld geklickt zu haben.
Die Entwickler sind über die Fehler informiert und haben sie bereits in den Nightly Builds von Firefox beseitigt. Da diese aber nicht ausreichend getestet werden, sollten Anwender lieber bis zum Erscheinen der Version 1.0.1 warten. Wann dies soweit ist, ist aber noch unklar.
Siehe dazu auch:
* Fireflashing von mikx
* Firetabbing von mikx
* Firedragging von mikx
(dab/c't)
Quelle mit Links:
http://www.heise.de/newsticker/meldung/56140Anmerkung von mir:
Drag&Drop ist im Browser überhaupt keine gute Idee, das sollte man höchstens mit genau bekannten lokalen Dateien machen.
Dem Browser oder Betriebssystem zu überlassen, welche Aktion beim Umgang mit fremden Dateien ausgeführt wird, ist zwar beim Surfen teils unumgänglich, innerhalb des Browsers, aber dort hinein oder heraus ist das grob fahrlässig.
Also bitte, wozu hat ein Windows-PC eigentlich eine rechte Mastaste
Am liebsten wäre mir die Möglichkeit, Drag&Drop am Browser völlig abstellen zu können, insbesondere für einige Pappenheimer, deren Kisten ich immer wieder ausmisten muss.
Die defaultmässige Unterdrückung der wichtigsten Dateiendungen bei Windows ist m.e. dessen grösste Sicherheitslücke überhaupt, ich hätte nicht übel Lust, dem Redmonder Brillenträger sein Elaborat links und rechts kräftig um die Ohren zu hauen.
Dem Nutzer die Art einer Datei vorenthalten zu versuchen, hat absolut nichts mit Komfort oder Ästhetik zu tun, das ist eher Beihilfe zur Täuschung.
Dies ist auch allen (Self-Made-)Administratoren vorzuwerfen, die Arbeitsplatzrechner immer noch mit dieser Einstellung übergeben, dann aber (in diesem Falle dummerweise) mit gesperrten Ordner-Optionen. Mir ist das schon mehrfach aufgefallen.
Jürgen
