Google + Firefox: Gefahr durch XSS-Lücke

Diskutiere Google + Firefox: Gefahr durch XSS-Lücke im IT-News Forum im Bereich News; Eine kürzlich entdeckte Sicherheitslücke in Firefox ermöglicht einen XSS-Angriff, der zum Beispiel mit Hilfe von Google-Weiterleitungsseiten ausgenutzt werden kann In der aktuellen Version des Web-Browsers ...


+ Antworten + Neues Thema erstellen

(Um antworten zu können, bitte registrieren oder einloggen)

Seite 1 von 2 1 2 LetzteLetzte
Ergebnis 1 bis 10 von 12
  1. Google + Firefox: Gefahr durch XSS-Lücke #1
    Moderator Avatar von Eric-Cartman

    Google + Firefox: Gefahr durch XSS-Lücke





    Eine kürzlich entdeckte Sicherheitslücke in Firefox ermöglicht einen XSS-Angriff, der zum Beispiel mit Hilfe von Google-Weiterleitungsseiten ausgenutzt werden kann

    In der aktuellen Version des Web-Browsers Mozilla Firefox steckt eine Schwachstelle im Umgang mit JAR-Archiven. Das Problem ist den Mozilla-Entwicklern bereits seit Anfang 2007 bekannt, es gibt jedoch noch keinen Fix dagegen. Die Sicherheitslücke ermöglicht XSS-Angriffe (Cross-Site Scripting), mit denen Zugangsdaten für Online-Dienste ausspioniert werden könnten, berichtet das Internet Storm Center.

    Das Problem besteht in einer unsicheren Implementierung des JAR-Protokolls von Sun, den Erfindern von Java. JAR-Archive sind im Prinzip ZIP-Archive mit einer anderen Dateiendung. Sie können daher auch beliebige andere Dateien enthalten, nicht nur Java-Code. Firefox stellt zum Beispiel eine in einer JAR-Datei enthaltene Datei "index.html" im Browser-Fenster dar, als ob sie direkt auf dem Web-Server liegen würde.

    Aufrufe solcher JAR-Dateien haben die Form "jar:https://beispiel.de/beispiel.jar!/mein.htm". Damit lassen sich Javascript-Filter von Community-Sites wie Myspace.com austricksen, um an Zugangsdaten zu gelangen. Die Weiterleitungsseiten von Google sind ein weiteres Beispiel - die Zugangsdaten zu Google-Konten (etwa Google Mail) lassen sich so ausspionieren. Von diesen Weiterleitungsseiten gibt es eine ganze Menge bei Google. Möglicherweise ließe sich damit auch beliebiger Code einschleusen und ausführen.

    Die Dateiendung muss nicht einmal ".jar" lauten - es kann auch eine Endung wie ".jpg" verwendet werden, die scheinbar auf ein Bild hinweist. Maßgeblich ist der so genannte MIME-Typ der Datei, den der Web-Server an den Browser übermittelt und den ein Anwender nicht zu sehen bekommt.

    Ein Sicherheits-Update für Firefox ist derzeit noch nicht verfügbar. Firefox-Benutzer können sich durch Installation der aktuellen Version der Erweiterung NoScript schützen.

    Powered by: IDG Magazine Media GmbH/PC-Welt.de

  2. Hi,

    schau dir mal diesen Ratgeber an. Dort findet man viele Hilfestellungen.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. Google + Firefox: Gefahr durch XSS-Lücke #2
    Hallo Zusammen,

    Die Sicherheitslücke XSS kriegt man glaube ich nie gelöst.
    Immer wieder tauchen die auf..

    Mfg
    Singh

  4. Google + Firefox: Gefahr durch XSS-Lücke #3
    Grüßt die Winboarder Avatar von Fireblade
    Ich glaub mit XXS können nur die wenigsten was anfangen.

    Was ist Cross-Site-Scripting?

    Cross-Site-Scripting (XSS) wird durch Schwachstellen in dynamisch erstellten Web-Seiten ermöglicht, bei denen beispielsweise Inhalte ohne ordnungsgemäße Validierung aufgrund von böswilligen Benutzereingaben erstellt werden. So lassen sich z. B. Inhalte von Seiten manipulieren, um in Formulare eingegebene Daten auszulesen. Die vom Angreifer zur Manipulation der Web-Anwendung benötigten Daten werden üblicherweise in Form eines präparierten Hyperlinks übermittelt.

    Das CERT Coordination Center beschreibt die Sicherheitsproblematik von dynamischen Web-Seiten wie folgt: "Eine Web-Seite enthält vom Server generierten Text und HTML-Markup, der vom Client-Browser verarbeitet wird. Web-Sites mit rein statischen Seiten können vollständig beeinflussen, wie der Browser diese Seiten interpretiert. Web-Sites mit dynamisch erstellten Seiten hingegen ist es nicht möglich umfassend zu steuern, wie die Interpretation der Inhalte durch den Client erfolgt. Um es auf den Punkt zu bringen: Wenn nicht vertrauenswürdige Inhalte an eine dynamische Web-Seite übergeben werden, stehen weder der Web-Site noch dem Client ausreichende Hinweise und Identifizierungsmöglichkeiten für einen Missbrauch zur Verfügung, mit der Konsequenz, dass keine proaktiven Maßnahmen eingeleitet werden können."

    Angreifer können somit eine entsprechend präparierte XSS-URL einfach per Internet-Browser übermitteln und testen, wie die Antwort der dynamischen Seite ausfällt. Zur Vorbereitung und Durchführung der Manipulation sind Kenntnisse in HTML, JavaScript und einer dynamischen Skript-Sprache erforderlich, damit die URL keinen Verdacht erregt.

    Jede Web-Seite, die Parameter an eine Datenbank weitergibt, üblicherweise bei Anmeldeformularen, Formularen zur Anforderung vergessener Passwörter u. Ä., kann für XSS anfällig sein.

    (Hinweis: Cross-Site-Scripting wird oftmals mit CSS abgekürzt, darf jedoch nicht mit der Technologie der Cascading Style Sheets (CSS) verwechselt werden.)
    Quelle

    http://www.acunetix.de/websitesecuri...-scripting.htm

  5. Google + Firefox: Gefahr durch XSS-Lücke #4
    Zitat Zitat von Eric-Cartman Beitrag anzeigen
    Ein Sicherheits-Update für Firefox ist derzeit noch nicht verfügbar.
    Kommt bestimmt bald

  6. Google + Firefox: Gefahr durch XSS-Lücke #5
    Hallo Zusammen,

    Kommt bestimmt bald
    Die Sicherheitslücke ist Mozilla schon seit Anfang dieses Jahres bekannt.
    Ob jetzt noch was kommt...

    Mfg
    Singh

  7. Google + Firefox: Gefahr durch XSS-Lücke #6
    achso, das wusste ich nicht! Ja dann kommt da bestimmt nichts mehr.

  8. Google + Firefox: Gefahr durch XSS-Lücke #7
    Hallo Zusammen,

    achso, das wusste ich nicht!
    Steht im Text:
    Das Problem ist den Mozilla-Entwicklern bereits seit Anfang 2007 bekannt, es gibt jedoch noch keinen Fix dagegen.
    Hast du bestimmt überlesen^^!!

    Mfg Singh

  9. Google + Firefox: Gefahr durch XSS-Lücke #8
    Stimmt, ich Dussel!

  10. Hallo,
    schau mal hier: Windows Wartungs Tool. Viele Probleme lassen sich damit einfach beheben. Oftmals ist der PC dann auch schneller!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  11. Google + Firefox: Gefahr durch XSS-Lücke #9
    Schwergewicht Avatar von Bullayer
    Vielleicht wird die Lücke mit FF 3.0 geschlossen

  12. Google + Firefox: Gefahr durch XSS-Lücke #10
    Grüßt die Winboarder Avatar von Fireblade
    Auf FF 3.0 können wir aber noch lange warten...die Finale..

Ähnliche Themen zu Google + Firefox: Gefahr durch XSS-Lücke


  1. Gefahr durch Drive-by-Downloads wird unterschätzt: Über vermeintlich harmlose Webseiten schleusen Angreifer unbemerkt digitale Schädlinge wie Viren, Trojaner und Adware in die Rechner ein: Mehr als...



  2. Keine Gefahr für Google: Alles beim Alten auf dem Suchmaschinenmarkt: Trotz großem Mediengetöse können Wikia Search und Cuil.com Platzhirsch Google bislang nicht den Rang...



  3. Web-Angriffe: Tipp: Gefahr durch Social Engineering: http://www.winboard.org/forum/imagehosting/1376045b14d895687e.gif http://www.winboard.org/forum/imagehosting/1376045fe7042f15fa.bmp Unter...



  4. Microsoft Word: Gefahr droht durch RTF-Dateien: Newsmeldung von ModellbahnerTT Über eine neue Sicherheitslücke in Microsoft Word können Angreifer durch Manipulation von RTF-Dateien beliebigen...



  5. Microsoft und Mozilla einig: Browser-Lücke keine große Gefahr: Fehler soll erst in "zukünftigen Versionen" beseitigt werden Microsoft und die Mozilla Foundation sind sich einig: Eine in ihren Browsern...