Passwortklau! Schon wieder? Oder immer noch?

    Freitag, 04. Januar 2008 (Quelle: winfuture.de)

    Sicherheitslücke in Firefox ermöglicht Passwort-Klau (von MarkusP für WinFuture.de)

    "Der israelische Sicherheitsexperte Aviv Raff warnt derzeit vor einer kritischen Sicherheitslücke im beliebten Firefox-Browser. Seinem Bericht nach ist mit Version 2.0.0.11 die aktuellste Version des quelloffenen Browsers betroffen.

    Wie Raff mitteilte, kann die Sicherheitslücke von Hackern dazu genutzt werden, die Passwörter der Anwender auszulesen. Dazu müssten die Angreifer lediglich den "Realm Value" im Authentifizierungs-Dialog des Browsers manipulieren um eine sichere Seite vorzutäuschen.

    Während der Anwender also in dem Glauben ist auf einer sicheren Webseite unterwegs zu sein, läuft im Hintergrund ein Skript, welches Bankdaten, Passwörter und andere persönliche Daten ausspioniert. Der gefälschte Authentifizierungs-Dialog kann dabei laut Raff auch durch den Klick auf ein Bild - beispielsweise auf einem MySpace-Profil - aufgerufen werden.

    Einen so genannten Proof-of-Concept-Code wollte Raff bislang nicht veröffentlichen, da er die Firefox-Nutzer nicht unnütz in Gefahr bringen möchte. Stattdessen informiert er in seinem Blog und in einem Video über die Schwachstelle."

    iMac 20", 2.4 GHz, Intel Core 2 Duo, 2 GB 667 MHz

    Ich habe diese Meldung gestern bei Heise gelesen und ich halte sie schon für ein Problem, das gepatcht gehört. Man kann damit aber nur die eventuelle Unbedarftheit des Anwenders ausnutzen - ein Klau gespeicherter Passwörter ist nicht möglich!

    Alles was der Sicherheitsspezialist behauptet ist, dass man den im Passwortdialog angezeigten Realm ändern kann und so eine vertrauenswürdige Seite vorgaukeln kann. Trotzdem muss der Anwender die Logindaten selbst eingeben. Eine falsche Seite mit "gespooftem" Realm kann den Passwortmanager nicht dazu bringen, die gespeicherten Daten der richtigen Seite an dieser Stelle einzutragen. Sprich: Der angezeigte Dialog gaukelt zwar vor, von einer vertrauenswürdigen Seite zu stammen, allerdings werden die Eingabefelder immer leer sein. Gefährlich wird es erst dann, wenn der Anweder hier selbst seine gültigen Login-Daten einträgt und der Server diese speichert, um sie auf der richtigen Seite zu benutzen.

    Das Problem, das ich mit dieser Meldung habe, ist aber folgendes: Es wird nur ein Video ohne jegliche Aufrufparameter gezeigt. Ich möchte nicht behaupten, dass sich der Spezialist die Lücke nur ausgedacht hat, aber sie ist eben nicht nachzuvollziehen, weil keine Demo bzw. keinen Proof-of-Concept-Exploit gibt.
    Ich hoffe, dass trotzdem die Mozilla-Foundation informsiert und über Details unterrichtet wurde, sodass man diese Lücke schnell beheben kann. Heise verschweigt zwar einen wichtigen Teil, nämlich das keine gespeicherten Passwörter gekalut werden können, aber problematisch und für Laien auch gefährlich ist diese Lücke doch.

    Hm, na ob so viele die Passwortprüfung über HTTP verwenden? Das sind in der Regel eigentlich auch keine anfälligen benutzer oder irre ich da?

    Naja, der Bug ist momentan als low risk eingestuft; allerdings wurde er zum P2-Blocker erhoben. Vermutlich erhält der Dialog damit in Fx3 ein neues Design.

    Zitat von Fxler

    Hm, na ob so viele die Passwortprüfung über HTTP verwenden? Das sind in der Regel eigentlich auch keine anfälligen benutzer oder irre ich da?

    Das Problem ist glaub so gemeint, dass der User jede Passwort-Frage ausfüllt, die ihm aufgetischt wird und nicht drauf achtet, ob die Seite normalerweiße nicht ein anständiges Formular verwendet.

    Ich gehe vermutlich viel zu sehr von meinem eigenen Surfverhalten aus und da würde dieser Fehler mir nichts ausmachen.

    Habe ich meine Passwörter gespeichert und Sie tauchen nicht im Dialog auf, sollte mich das schon unsicher machen.

    Zudem hängt im Text am Ende (zumindest in der deutschen Lokalisierung) ein unnützes "ein.", dass dann den entscheidenen Hinweis geben sollte.