News-Meldung vom 07.06.2006 09:50
In zahlreichen Browsern könnten Angreifer mittels JavaScript und Datei-Upload-Formularen Dateien von Rechnern ihrer Opfer ins Netz hochladen, erläutert Charles McAuley in einer Sicherheitsmeldung. Im Internet Explorer und in Mozilla-basierten Browsern können Tastenanschläge in Formularen gefiltert und in eine Dateieingabebox kopiert werden.
In seiner Sicherheitsmeldung liefert McAuley jeweils eine Demonstrationsseite für den Internet Explorer und für Mozilla-Browser wie beispielsweise Firefox mit. Die Demo-Skripte können Eingaben in ein Formularfeld nach einer vorgegebenen Zeichenkette ausfiltern und in ein (unsichtbares) Datei-Upload-Feld kopieren.
Die Lücke ist nicht neu: Schon im Jahr 2000 wurde ein Bugzilla-Eintrag für Mozilla angelegt, der das Problem erläutert. Obwohl Benutzer ordentlich mithelfen müssen, damit ein solcher Angriff funktioniert, scheint der Angriffsvektor nicht unrealistisch: Immerhin konnten Phisher in der Vergangenheit viele Internetnutzer dazu verleiten, ganze TAN-Blöcke in Web-Formulare einzugeben.
Siehe dazu auch:
(dmk)
Version zum Drucken | Per E-Mail versenden
Permalink: http://heise.de/-130023
Themen-Forum Schwachstellen
Am 15. Januar 2012 jährte sich der Versand einer inzwischen berühmten E-Mail zum zehnten Mal: Bill Gates machte mit seiner Nachricht an alle Microsoft-Mitarbeiter die Themen Sicherheit, Datenschutz und Verlässlichkeit von IT-Systemen zum obersten Ziel. 
Dank der redaktionseigenen Glaskugel präsentiert heise Security schon jetzt und wie immer exklusiv den ultimativen Jahresrückblick auf das vor uns liegende Jahr 2012. 
Wer veraltete Programmversionen von Firefox, Thunderbird und SeaMonkey nutzt, kann sein System leicht mit Schadcode infizieren. 
