Sicherheitsforscher warnt vor Spoofing-Lücke in Chrome und Firefox

Betroffen sind die Versionen Chrome 52 und früher sowie Firefox 47 und früher. Ein Angreifer kann einen Nutzer unter Umständen zum Besuch einer gefährlichen Website verleiten. Mozilla hat das Loch bereits in Firefox 48 gestopft.

Der Sicherheitsforscher Rafay Baloch hat eine Spoofing-Lücke in den Browsern Chrome und Firefox entdeckt. Sie erlaubt es einem Angreifer, Nutzer auf eine manipulierte Website zu locken, die ihnen jedoch als legitim erscheint. Google und Mozilla haben Baloch für die Details zu der Anfälligkeit zusammen eine Belohnung von 5000 Dollar bezahlt.

Sicherheit (Bild: Shutterstock)Der Fehler tritt bei der Verarbeitung von Internetadressen auf. URLs werden in Sprachen wie Arabisch, die von rechts nach links angezeigt werden, anders dargestellt, als in Sprachen, die von links nach rechts angezeigt werden. Dieses Verfahren kann offenbar benutzt werden, um Adressen im Browser „umzudrehen“.

Aus einer URL wie „127.0.0.1/?/http://example.com“ würde im Browser beispielsweise „http://example.com/??/127.0.0.1“. Ein Nutzer wäre also der Meinung, er besuche die Website Example.com, obwohl ihm Inhalte von der IP-Adresse 127.0.0.1 angezeigt werden.

Die Adressleiste sei laut Google jedoch der einzige zuverlässige Indikator für die Sicherheit einer Website, schreibt Baloch in seinem Blog. „Wenn der einzige zuverlässige Sicherheitsindikator von einem Angreifer kontrolliert wird, könnte das negative Folgen haben. Zum Beispiel könnte ein Nutzer verleitet werden, vertrauliche Informationen an eine schädliche Website preiszugeben, weil er glaubt, dass er eine legitime Seite besucht, weil die Adressleiste auf die richtige Website verweist.“

HIGHLIGHT

Wettbewerbsvorteile durch effizienten Kundenservice

Telefonieren Sie noch oder skypen Sie schon, lautete einmal ein einprägsamer Werbespruch, der einfach zum Ausdruck brachte, dass eine ältere Technologie von etwas Besserem ersetzt wird. Das Gleiche gilt für die Kommunikation mit Kunden. Nutzen Sie schon Communication Enabled Business Processes (CEBP) oder warten Sie, bis der Wettbewerb Sie überholt

Die Spoofing-Lücke steckt in Chrome 52 und früher sowie Firefox 47 und früher. Mozilla hat die Schwachstelle bereits mit Firefox 48 beseitigt. Einem Security Advisory zufolge war nur Firefox für Android anfällig, nicht aber die Desktopversion. Google wird den Fehler laut Baloch mit Chrome 53 beheben.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Themenseiten: Browser, Chrome, Firefox, Google, Mozilla, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Sicherheitsforscher warnt vor Spoofing-Lücke in Chrome und Firefox

Kommentar hinzufügen
  • Am 18. August 2016 um 1:25 von Hans

    Und nachdem Mozilla beim Feuerfuchs die Statusleiste amputierte, hat der gewöhnliche Nutzer auch noch mal eine Kontrolle weniger.
    Prima. ApplausApplausApplaus!!!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *