Sicherheitsforscher warnt vor Spoofing-Lücke in Chrome und Firefox

Betroffen sind die Versionen Chrome 52 und früher sowie Firefox 47 und früher. Ein Angreifer kann einen Nutzer unter Umständen zum Besuch einer gefährlichen Website verleiten. Mozilla hat das Loch bereits in Firefox 48 gestopft.

Der Sicherheitsforscher Rafay Baloch hat eine Spoofing-Lücke in den Browsern Chrome und Firefox entdeckt. Sie erlaubt es einem Angreifer, Nutzer auf eine manipulierte Website zu locken, die ihnen jedoch als legitim erscheint. Google und Mozilla haben Baloch für die Details zu der Anfälligkeit zusammen eine Belohnung von 5000 Dollar bezahlt.

Sicherheit (Bild: Shutterstock)Der Fehler tritt bei der Verarbeitung von Internetadressen auf. URLs werden in Sprachen wie Arabisch, die von rechts nach links angezeigt werden, anders dargestellt, als in Sprachen, die von links nach rechts angezeigt werden. Dieses Verfahren kann offenbar benutzt werden, um Adressen im Browser „umzudrehen“.

Aus einer URL wie „127.0.0.1/?/http://example.com“ würde im Browser beispielsweise „http://example.com/??/127.0.0.1“. Ein Nutzer wäre also der Meinung, er besuche die Website Example.com, obwohl ihm Inhalte von der IP-Adresse 127.0.0.1 angezeigt werden.

Die Adressleiste sei laut Google jedoch der einzige zuverlässige Indikator für die Sicherheit einer Website, schreibt Baloch in seinem Blog. „Wenn der einzige zuverlässige Sicherheitsindikator von einem Angreifer kontrolliert wird, könnte das negative Folgen haben. Zum Beispiel könnte ein Nutzer verleitet werden, vertrauliche Informationen an eine schädliche Website preiszugeben, weil er glaubt, dass er eine legitime Seite besucht, weil die Adressleiste auf die richtige Website verweist.“

ANZEIGE

Sie haben Optimierungsbedarf bei Ihren Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

Die Spoofing-Lücke steckt in Chrome 52 und früher sowie Firefox 47 und früher. Mozilla hat die Schwachstelle bereits mit Firefox 48 beseitigt. Einem Security Advisory zufolge war nur Firefox für Android anfällig, nicht aber die Desktopversion. Google wird den Fehler laut Baloch mit Chrome 53 beheben.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Themenseiten: Browser, Chrome, Firefox, Google, Mozilla, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Sicherheitsforscher warnt vor Spoofing-Lücke in Chrome und Firefox

Kommentar hinzufügen
  • Am 18. August 2016 um 1:25 von Hans

    Und nachdem Mozilla beim Feuerfuchs die Statusleiste amputierte, hat der gewöhnliche Nutzer auch noch mal eine Kontrolle weniger.
    Prima. ApplausApplausApplaus!!!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *