28.07.2004 16:08
Mozilla-Team stopft weitere SSL-Lücke
Das Mozilla-Team hat einen Patch für eine von Emmanoul Kellis gemeldete Sicherheitslücke entwickelt. Sie ermöglicht es, mit Mozilla/Firefox Inhalte einer beliebigen Webseite im Kontext eines fremden Zertifikats anzuzeigen. Das in der Statusbar des Webbrowsers angezeigte Schloss wird normalerweise nur als geschlossen angezeigt, wenn ein gültiges Zertifikat für die Seite vorliegt und alle dargestellten Inhalte auch exklusiv von diesem Server stammen. Werden andere, von nicht zertifizierten Seiten stammende Inhalte eingebettet (beispielsweise mit einem Frame), sollte das Schloss durchgestrichen sein, um den Anwender darauf hinzuweisen.
Über einen Trick, der auf einem Caching-Problem in Mozilla beruht, ist es jedoch möglich, beliebige andere Seiten im Kontext von gesicherten SSL-Seiten anzeigen zu lassen, ohne dass sich das Schloss verändert -- dem Nutzer wird eine gesicherte Verbindung vorgekaukelt, die aber gar nicht besteht. Allerdings wird in der Addresszeile dann auch die URL der externen Seite angezeigt, was das Problem abschwächt. Dennoch kann dieser Fehler gefährlicher werden, wenn er in Kombination mit Adresszeilen-Spoofing verwendet wird. Die Mozilla-Entwickler haben bereits Patches entwickelt, die über Bugzilla zur Verfügung stehen, sie sind aber in den Vollversionen der Websuite beziehungsweise von Firefox momentan noch nicht implementiert.
(pab)
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
