Web

Leck in Mozilla-Browsern und IE ermöglicht Daten-Phishing

07.06.2005

MÜNCHEN (COMPUTERWOCHE) - Vorsicht beim Besuch sensibler Websites wie Online-Banking-Seiten sollten Nutzer der Mozilla-Browser Firefox 1.x, Mozilla 1.7.x und Camino 0.x walten lassen, raten die Sicherheitsexperten von Secunia. Die Anwendungen weisen eine Sicherheitslücke auf, über die sich manipulierte HTML-Seiten in Frames vertrauenswürdiger Websites einblenden lassen. Denkbar sei, dass Angreifer auf diese Weise zum Beispiel PIN-Nummern und TANs von Bankkunden abgreifen können.

Wie das funktioniert, demonstriert Secunia anhand einer Beispielseite. Die Sicherheitsexperten gehen dabei nur auf die Mozilla-Browser ein. Ein kurzer Test mit dem Internet Explorer 6 (IE) unter Windows XP mit Service Pack 1 zeigte jedoch, dass in den Standardeinstellungen auch der Microsoft-Browser unsicher ist.

Im IE lässt sich das Problem beheben, indem in den Sicherheitseinstellungen unter "Extras, Internetoptionen, Sicherheit, Internet, Stufe anpassen" unter "Verschiedenes" die Funktion "Subframes zwischen verschiedenen Domänen bewegen" deaktiviert wird. Die Änderung wirkt sich ohne Neustart des Browsers aus.

Die Mozilla Foundation untersucht das Leck eigenen Angaben zufolge. Bereits ältere Firefox-Versionen waren davon betroffen, mit Version 0.9 des Browsers wurde es bereits einmal behoben. Bis eine Lösung gefunden ist, raten die Experten, im Fall des Besuchs sensibler Websites, alle anderen Browserfenster und Tabulatoren zu schließen. (lex)