Enisa: Webstandards des W3C sind ein Sicherheitsrisiko

Die EU-Behörde Enisa (European Network Information Security Agency) hat eine Sicherheitsanalyse neuer Webstandards veröffentlicht, in der es auf 51 potenziell gefährliche Designfehler hinweist. Viele von ihnen könnten es Angreifern demnach erlauben, Informationen zu entwenden. Die Schwachstellen fanden sich in 13 vorgeschlagenen Standards und Spezifikationen des World Wide Web Consortium (W3C). Sie betreffen unter anderen den HTML-5-Standard, den Microsoft, Adobe und andere in aktueller Software einsetzen.

„Es sind keine Schwachstellen vom Typ Rootkit“, erklärte Giles Hogben, ein Netzwerkexperte der Enisa, gegenüber ZDNet. „Wahrscheinlicher ist, dass sie einem Angreifer eine gewisse Kontrolle über den Browser geben. So könnte beispielsweise eine fragwürdige Seite Informationen aus einer legitimen Seite holen.“ Hogben zufolge machen es die Fehler einem Angreifer möglich, Benutzer zur Installation von Malware zu verleiten, um die Kontrolle über ihr System zu erlangen. Auf diese Weise könnten Kriminelle etwa Informationen aus verschickten Formularen und Cross-Domain-Anfragen stehlen.

Bei HTML 5 öffnet eine schwerwiegende Anfälligkeit die Tür zu möglichen Manipulationen durch HTML-Injektion. In einem beschriebenen Szenario kauft jemand Waren online ein und gibt Kreditkartendaten sowie weitere Informationen in ein Webformular ein. HTML 5 erlaubt Schaltflächen, etwa zum Versenden eines Formulars, auch außerhalb des Webformulars. Aufgrund dieses Designfehlers könnte ein Angreifer den Käufer laut Enisa mit einem präparierten Button dazu bringen, seine Kreditkartendaten an ein unbekanntes Ziel zu übermitteln.

Als weiteren möglichen Angriff beschreibt die Behörde eine Methode, den Schutz einer Sandbox per Clickjacking auszuhebeln. Die HTML-5-Spezifikation erlaube es einem Hacker, eine bösartige Seite in einen eigentlich durch eine Sandbox geschützten iFrame einzufügen. Ein weiterer Fehler erlaube es, die Ortsdaten des Nutzers aus dem Cache zu ziehen, zumal die Spezifikation keine zeitlichen Grenzen für die Speicherung von Standortdaten setze.

Das W3C hat noch Zeit, um einige der Standards zu ändern, aber Hogben hält für fraglich, ob sie alle überarbeitet werden, um die Fehler vollständig zu entschärfen: „Bei einigen der Schwachstellen nehmen wir nicht an, dass sie vollständig behoben werden – insbesondere bei den Formularen, da die Funktionalität aus einem guten Grund enthalten sein sollte. Wir erwarten nicht, dass das W3C die Formularfunktionalität aus den Spezifikationen nimmt.“

Enisa hatte den Bericht schon vor der Veröffentlichung an das W3C übermittelt, damit die W3C-Arbeitsgruppen die Erkenntnisse berücksichtigen können, bevor sie die endgültigen Standards festlegen. In einer Stellungnahme des W3C zur laufenden Zusammenarbeit heißt es: „Was Sie hier sehen, ist ein Prozess der Sicherheitsüberprüfungen, wie er laufen sollte: Unabhängige Begutachtung identifiziert mögliche Sicherheitsprobleme, die zuständigen Arbeitsgruppen analysieren die Probleme und arbeiten an ihrer Behebung. Die Arbeitsgruppen des W3C werden sich in der gewohnten Vorgehensweise mit diesen Sicherheitslücken beschäftigen.“