Browser-Sicherheit Lauter kleine Siebe

Eine Warnung des IT-Sicherheitsunternehmens Secunia sorgt für Unruhe: Derzeit weisen alle gängigen Browser beträchtliche Sicherheitslücken auf. Betroffen sind auch Firefox, Opera, Mozilla und Co. Über ihre "Mehrfenster-Browsing"-Funktionen lassen sich Passworte, Pin-Nummern und Ähnliches abfischen.

Hamburg - "Testen Sie Ihren Browser!", lädt Secunia auf einer eigens eingerichteten Seite ein, denn nach Angaben des Unternehmens haben derzeit alle gängigen Browser ein Loch. Nach einem Klick auf einen entsprechenden Link öffnet sich in einem anderen Browserfenster die Webseite einer Bank.

Plopp! erscheint ein Dialogfenster, in das man etwas eintragen kann. Das erscheint dann prompt in einem Ausgabefenster auf der Testseite. Womit bewiesen wäre: In Browsern, die mit einer Mehrfenstertechnik arbeiten, lässt es sich bequem zwischen Seite A und B kommunizieren. Die Testeingabe hätte genau so gut ein Passwort, eine Pin-Nummer oder etwas ähnlich Wichtiges sein können.

"Wer will, der kann sich das vor Augen führen lassen: Wenn sich jemand mit schnüffelndem Interesse vor eine vertrauenswürdige Webseite schiebt, dann nennt man das "Spoofing": Im schlimmsten Fall lassen sich mit solchen Methoden über das Web sensible Daten abfischen. Zurzeit, sagt Secunia, seien alle gängigen Browser in Gefahr, die mit Mehrfenster-Technik arbeiten. Konkret sind das die neuesten Browser Avant, Firefox, Konqueror, Maxthon, Mozilla, Netscape, Opera und Apples Safari.

Keine echte Entwarnung

Von dieser "Dialog Box Spoofing Vulnerability" und der ähnlich funktionierenden "Form Field Spoofing Vulnerability" nicht betroffen ist zur Abwechslung Microsofts Internet Explorer, sonst als Mutter aller Sicherheitslecks verschrien. Zumindest einmal zahlt sich nun aus, dass der IE weniger kann als seine Konkurrenten.

Eine echte Entwarnung für IE-Nutzer ist das nicht, denn auch Microsofts Internet Explorer hat ein (anders gelagertes) Spoofing-Problem, auch mit installiertem Service Pack 2. Dazu kommt ein am gleichen Tag wie die Mehrfenster-Lücke entdecktes Sicherheitsproblem, das Secunia als "hoch kritisch" bewertet: Demnach wäre es Angreifern möglich, Sicherheitsmechanismen von Windows zu umgehen, wenn der Nutzer Dateien aus dem Internet zieht.

Gut ist, wer schnell reagiert

Gut ist, wer schnell reagiert

Ansonsten aber konnte sich Microsoft in dieser Woche nicht nur über die Fehler der anderen freuen, sondern auch darüber, dass der IE sich in Tests als der robusteste Browser erwies, wenn es um fehlerhaften HTML-Code geht. IE bemerkt den gar nicht, wo beispielsweise Netscape protestierend in die Knie geht. Den langsamen aber stetigen Verlust von Marktanteilen dürften aber auch solche Meldungen nicht aufhalten.

Nun schaut die interessierte Szene darauf, wie lang die Browser-Entwickler brauchen werden, ihre spezifischen Probleme zu lösen.

Secunia sieht den Grund für die Spoofing-Lücken darin, dass keiner der betroffenen Browser eine Rückmeldung darüber gibt, aus welchem geöffneten Fenster heraus eine Dialogbox gestartet wurde, respektive, wohin diese "funkt". Zu umgehen ist das Sicherheitsleck also relativ einfach: Secunia rät davon ab, sensible Daten in Dialogfelder einzugeben, wenn mehr als ein Fenster geöffnet ist. Eine echte Lösung ist das natürlich nicht.

Jetzt ist unter anderem die Open-Source-Szene gefragt, die Lecks möglichst schnell zu stopfen. Sie steht im Ruf, auf solche Warnungen deutlich schneller zu reagieren als die kommerziellen Softwareentwickler. Überhaupt haben gerade die Produkte des Mozilla-Projektes im Laufe des vergangenen Jahres einen enormen Imagezuwachs zu verzeichnen.

Insbesondere der Browser Firefox gilt als Liebling der Medien. Für die offizielle Einführung der ersten Vollversion 1.0 im November plant das Open-Source-Projekt erstmals eine prominent plazierte Anzeigenkampagne - und das gleich mit einer vollen Seite in der "New York Times". Das Geld dafür soll - typisch Nonprofit - über eine Spendenkampagne in der "Community" zusammenkommen. Das aber dürfte leichter gelingen, wenn die "Gemeinde" das Vertrauen in die Güte des Produkts nicht verliert.

Die Wiedergabe wurde unterbrochen.