Web

 

Javascript-Bug macht Web-Browser unsicher

23.06.2005

MÜNCHEN (COMPUTERWOCHE) - Die auf Softwaresicherheit spezialisierte Firma Secunia hat eine Sicherheitslücke in zahlreichen Browsern entdeckt. Unter Ausnutzung dieser Schwachstelle könnten dubiose Zeitgenossen ahnungslosen Surfern Passwörter entlocken. Über untergeschobene Dialogboxen lassen sich Kennwörter abfragen. Möglich wird dies, da die Browser nicht prüfen, woher diese in Javascript verfassten Pop-ups stammen. Diesen Umstand könnten Bösewichte aunutzen, um Site-Besucher ohne ihr Wissen auf eine andere Web-Page umzuleiten. Wie das geht, erläutert Secunia an einem simplen Beispiel. Die Firma weist zwar auf den Fehler hin, stuft ihn jedoch nicht als besonders kritisch ein.

Betroffen sind laut Secunia die Programme "Internet Explorer" (Windows und Mac), "Safari", "iCab", "Firefox" und "Camino". Auch "Opera 7 und 8" weisen den Fehler auf, die Version 8.0.1 hingegen nicht. Mit Opera 8.0.1 ist es möglich, den Ursprung eines solchen Pop-up-Dialogs in Erfahrung zu bringen. Vor wenigen Tagen hatten die Norweger die Mac-Version von Opera 8 auf den Markt gebracht (Computerwoche Online berichtete).

Beseitigt wurde der Javascript-Bug auch in der Betafassung des alternativen Macintosh-Browsers iCab 3.0.

Microsoft sieht keinen Handlungsbedarf für ein Softwareupdate. Für Anwender, die den Empfehlungen zur Vermeidung von Phishing und Spoofing Folge leisteten, bestehe nur ein geringes Risiko, vermeldet der Konzern in einem Advisory. Die Erfahrungen von Sicherheitsexperten zeigen jedoch, dass manche Anwender selbst auf billige Tricks reinfallen. (fn)