Sicherheitsforscher warnt vor Spoofing-Lücke in Chrome und Firefox

Der Sicherheitsforscher Rafay Baloch hat eine Spoofing-Lücke in den Browsern Chrome und Firefox entdeckt. Sie erlaubt es einem Angreifer, Nutzer auf eine manipulierte Website zu locken, die ihnen jedoch als legitim erscheint. Google und Mozilla haben Baloch für die Details zu der Anfälligkeit zusammen eine Belohnung von 5000 Dollar bezahlt.

Der Fehler tritt bei der Verarbeitung von Internetadressen auf. URLs werden in Sprachen wie Arabisch, die von rechts nach links angezeigt werden, anders dargestellt, als in Sprachen, die von links nach rechts angezeigt werden. Dieses Verfahren kann offenbar benutzt werden, um Adressen im Browser „umzudrehen“.

Aus einer URL wie „127.0.0.1/?/http://example.com“ würde im Browser beispielsweise „http://example.com/??/127.0.0.1“. Ein Nutzer wäre also der Meinung, er besuche die Website Example.com, obwohl ihm Inhalte von der IP-Adresse 127.0.0.1 angezeigt werden.

Die Adressleiste sei laut Google jedoch der einzige zuverlässige Indikator für die Sicherheit einer Website, schreibt Baloch in seinem Blog. „Wenn der einzige zuverlässige Sicherheitsindikator von einem Angreifer kontrolliert wird, könnte das negative Folgen haben. Zum Beispiel könnte ein Nutzer verleitet werden, vertrauliche Informationen an eine schädliche Website preiszugeben, weil er glaubt, dass er eine legitime Seite besucht, weil die Adressleiste auf die richtige Website verweist.“

Die Spoofing-Lücke steckt in Chrome 52 und früher sowie Firefox 47 und früher. Mozilla hat die Schwachstelle bereits mit Firefox 48 beseitigt. Einem Security Advisory zufolge war nur Firefox für Android anfällig, nicht aber die Desktopversion. Google wird den Fehler laut Baloch mit Chrome 53 beheben.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.