Sicherheitsforscher warnt vor Spoofing-Lücke in Chrome und Firefox

Betroffen sind die Versionen Chrome 52 und früher sowie Firefox 47 und früher. Ein Angreifer kann einen Nutzer unter Umständen zum Besuch einer gefährlichen Website verleiten. Mozilla hat das Loch bereits in Firefox 48 gestopft.

Der Sicherheitsforscher Rafay Baloch hat eine Spoofing-Lücke in den Browsern Chrome und Firefox entdeckt. Sie erlaubt es einem Angreifer, Nutzer auf eine manipulierte Website zu locken, die ihnen jedoch als legitim erscheint. Google und Mozilla haben Baloch für die Details zu der Anfälligkeit zusammen eine Belohnung von 5000 Dollar bezahlt.

Sicherheit (Bild: Shutterstock)Der Fehler tritt bei der Verarbeitung von Internetadressen auf. URLs werden in Sprachen wie Arabisch, die von rechts nach links angezeigt werden, anders dargestellt, als in Sprachen, die von links nach rechts angezeigt werden. Dieses Verfahren kann offenbar benutzt werden, um Adressen im Browser „umzudrehen“.

Aus einer URL wie „127.0.0.1/ا/http://example.com“ würde im Browser beispielsweise „http://example.com/‭ا/127.0.0.1“. Ein Nutzer wäre also der Meinung, er besuche die Website Example.com, obwohl ihm Inhalte von der IP-Adresse 127.0.0.1 angezeigt werden.

Die Adressleiste sei laut Google jedoch der einzige zuverlässige Indikator für die Sicherheit einer Website, schreibt Baloch in seinem Blog. „Wenn der einzige zuverlässige Sicherheitsindikator von einem Angreifer kontrolliert wird, könnte das negative Folgen haben. Zum Beispiel könnte ein Nutzer verleitet werden, vertrauliche Informationen an eine schädliche Website preiszugeben, weil er glaubt, dass er eine legitime Seite besucht, weil die Adressleiste auf die richtige Website verweist.“

HIGHLIGHT

Open Telekom Cloud: Ressourcen auf Abruf

Von Capex zu Opex: Mit IT-Kapazitäten aus der Cloud statt von eigenen Servern verwandeln Unternehmen gerade verstärkt starre Investitionskosten in dynamische Ausgaben, die sich dem Geschäftsverlauf anpassen – und werden damit flexibler. Immer beliebter: Infrastructure-as-a-Service (IaaS) aus der Open Telekom Cloud.

Die Spoofing-Lücke steckt in Chrome 52 und früher sowie Firefox 47 und früher. Mozilla hat die Schwachstelle bereits mit Firefox 48 beseitigt. Einem Security Advisory zufolge war nur Firefox für Android anfällig, nicht aber die Desktopversion. Google wird den Fehler laut Baloch mit Chrome 53 beheben.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit 15 Fragen auf ITespresso.de.

Themenseiten: Browser, Chrome, Firefox, Google, Mozilla, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Stefan Beiersmann
Autor: Stefan Beiersmann
Freier Mitarbeiter
Stefan Beiersmann
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Sicherheitsforscher warnt vor Spoofing-Lücke in Chrome und Firefox

Kommentar hinzufügen
  • Am 18. August 2016 um 1:25 von Hans

    Und nachdem Mozilla beim Feuerfuchs die Statusleiste amputierte, hat der gewöhnliche Nutzer auch noch mal eine Kontrolle weniger.
    Prima. ApplausApplausApplaus!!!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *