Firefox und IE: Passwortdiebstahl durch falsche Formulare

Mozillas Firefox 2 und Microsofts Internet Explorer enthalten eine Sicherheitslücke, die es Angreifern erlaubt, Passwörter zu stehlen. Die von ihrem Entdecker Robert Chapin als Reverse-Cross-Site-Request-Schwachstelle (RCSR) betitelte Sicherheitslücke ermöglicht es Hackern, Passwörter und Benutzernamen eines Anwenders auszuspionieren, indem sie ein gefälschtes Login-Formular erstellen. Der Firefox-Passwortmanager füllt dieses automatisch mit gespeicherten Passwörtern und Nutzernamen aus. Anschließend werden die Daten ohne Wissen des Users an den Computer des Angreifers geschickt.

Ein ähnliches Problem habe es auch schon auf der Social-Networking-Site Myspace.com gegeben. Es könne jeden treffen, der ein Blog oder Forum nutze, welches das Hinzufügen eines von Nutzern erstellten HTML-Codes erlaube, erklärte der Chapin Information Service (CIS). „Firefox- und Internet-Explorer-Nutzer müssen wissen, dass ihre Zugangsinformationen auf diese Weise ausgelesen werden können, wenn sie Blogs oder Foren auf vertrauenswürdigen Seiten besuchen.“

Solche Attacken sind bei der Nutzung von Firefox wahrscheinlicher als beim Internet Explorer. Denn letzterer trägt nicht automatisch gespeicherte Nutzerdaten ein, wenn das RCSR-Formular nicht auf derselben Seite wie das rechtmäßige Anmeldefenster erscheint. Laut Mozilla arbeitet man an einer Lösung des Problems für Firefox 2. Es ist allerdings unklar, inwiefern auch frühere Versionen des Browsers von der Sicherheitslücke betroffen sind. Das Sicherheitsunternehmen Secunia rät Firefox-Nutzern, die Funktion zum automatischen Speichern von Passwörtern in den Browsereinstellungen zu deaktivieren.