Wenn sich auf einer vertrauenswürdigen Website eine JavaScript-Dialogbox öffnet, muss sie nicht unbedingt von dieser Webseite stammen, warnt Secunia in einem Advisory. Hat der Anwender zuvor eine andere Webseite aufgesucht und deren Fenster noch geöffnet, kann diese im Hintergrund warten und zu einem späteren Zeitpunkt eine Dialogbox so öffnen, dass der Anwender sie im Kontext einer anderen Seite wahrnimmt. Die skandinavischen Sicherheitsdienstleister kritisieren, dass in keinem Browser die wahre Herkunft der Dialogbox angezeigt wird.
Secunia stellt eine Demonstration des Problems bereit. Klickt man in dieser auf den angebotenen Test-Link, öffnet sich die Google-Seite und eine Dialogbox, die zur Eingabe des Passworts auffordert. Aufmerksame Beobachter bemerken jedoch durchaus, dass parallel ein kleineres Fenster geöffnet wurde, das Secunia hinter der Dialogbox verbirgt. Dieses steuert die Eingabeaufforderung und erhält auch die eingegebenen Daten. Betroffen sind laut Secunia folgende Browser:
* Internet Explorer für Mac
* Internet Explorer
* Opera
* Safari
* iCab
* Mozilla, FireFox, Camino
Allerdings stuft die Sicherheitsfirma selbst das Problem als "less critical", also als nicht sonderlich schwerwiegend ein. Zum Schutz empfiehlt das Advisory, in einer Browser-Sitzung, in der man vertrauenswürdige Seiten aufsucht, keine anderen Webseiten zu öffnen.
Quelle und Links :
http://www.heise.de/newsticker/meldung/60855
