Schwachstellen in Browser-Software
Der Sicherheitsdienstleister Secuina warnt vor zwei Schwachstellen in der Tab-Funktion von Webbrowsern.
Betroffen sind Browser der Mozilla Foundation, aber auch Opera, Camino, Konqueror und Plug-ins von Drittanbietern, die das Tabbed-Browsing mit dem Internet Explorer ermöglichen.
Eine Lücke ermöglicht einer Website das Auslesen von Information quer über die Tabs hinweg, die andere lässt Dialogboxen aus inaktiven Tabs zu, die damit vorgeben, aus dem aktiven Tab zu kommen.
Das KDE-Team hat die Schachstellen in der neuesten Version des Konquerors bereits geschlossen, Firefox will in wenigen Wochen mit der Bereitstellung der finalen Version 1.0 nachziehen, Opera mit der Version 7.60.
Secunia empfiehlt, beim Nutzen der Tab-Funktion Javascript auszuschalten oder unsichere Websites nicht zeitgleich mit sicheren zu besuchen.
Secunia AdvisoriesLücken im IE
Auch der Microsoft-Browser IE wird von zwei neuen Sicherheitslücken heimgesucht. Während die eine einen Fehler bei der Drag-and-Drop-Funktion ausnutzt, mit dem HTML-Code auf einem fremden Rechner deponiert werden kann, kann der zweite die Sicherheitsmechanismen des Service Pack 2 umgehen. HTML-Dokumente können damit auf einem fremden PC ausgeführt werden.
Beide zusammen ermöglichen Angreifern über eine präparierte Website Code auf einem fremden Rechner zu platzieren. Die Sicherheitslücken sind laut Http-equiv nicht gänzlich neu, sondern Abänderungen bekannter Sicherheitslücken.
Allerdings soll das Ausnutzen laut Microsoft nicht ganz einfach sein. So muss der User nicht nur die Website besuchen, sondern auch eine Reihe von Aktionen vornehmen und anschließend den PC neu starten bzw. sich abmelden, damit der Angriff vonstatten gehen kann.