MÜNCHEN (COMPUTERWOCHE) - Eine Sicherheitslücke in den Mozilla-Browsern Firefox 1.0 und Mozilla 1.7 ermöglicht es, Anwendern gefälschte Downloads unterzuschieben, warnen die Experten des IT-Security-Dienstleisters Secunia.

Demnach lassen sich gefälschte URLs (Uniform Ressource Locators) im Download-Dialog anzeigen, Wenn ein Firefox-Anwender Dateien aus dem Internet lädt. Das so genannte Download-Spoofing lässt sich zum Beispiel über manipulierte Links ausnutzen, die per E-Mail verschickt werden. Werden diese angeklickt, können unter Umständen Viren, Würmer oder Trojanische Pferde auf den Rechner gelangen.

Wie sich die Lücke in der Praxis auswirkt, veranschaulicht ein Test-Download, der auf Bugzilla bereit steht. Der Download-Dialog der Mozilla-Browser gaukelt vor, dass die zum Download zur Verfügung gestellte Datei auf einem Server der Citibank liege. In Wahrheit kommt die datei jedoch von einem Secunia-Server, wie der Download-Dialog des Internet Explorers verrät.

Antiviren-Experten wie David Emm von Kaspersky rechnen nicht mit einer großen Angriffswelle auf die Sicherheitslücke. Daten-Phisher, die das Spoofing oft nutzen, nehmen eher den Internet Explorer aufs Korn, da Microsoft mit dem Browser den Markt immer noch dominiert, sagte Emm.

Zurzeit ist noch kein Patch verfügbar. Die Mozilla-Entwickler wollen das Leck mit der kommenden Version der Browser beseitigen.

Ein weiteres Spoofing-Leck des Firefox, das beim Tabbed-Browsing auftritt, ist bereits länger bekannt. Wenn Websites in einem neuen Tabulator geöffnet werden, lassen sich andere Adressen öffnen, als in der Satusleiste angezeigt. Dies veranschaulicht ein Test im Knowledge-Center "IT-Security" auf Computerwoche.de. (lex)