Menü

Neue Firefox-Version umgeht Phishing-Trick bei Umlaut-Domains [Update]

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 451 Beiträge
Von

Die Mozilla-Foundation hat eine neue Version des Webbrowsers Firefox herausgegeben, die Verbesserungen bei der Stabilität bringt, aber auch einige Sicherheitsprobleme beseitigt. Dazu gehören etwa die Möglichkeit, die eigentliche Quelle eines Downloads zu verschleiern, oder der Bug, durch den sich mittels Drag&Drop eines Images eine ausführbare Datei auf dem lokalen Rechner des Anwenders platzieren lässt.

Auch umgeht die Version 1.0.1 nun wie angekündigt den kürzlich bekannt gewordenen Phishing-Trick bei Internationalized Domain Names (IDN). Bei dem Trick wurden Domainnamen mit länderspezifischen Sonderzeichen registriert. Einige dieser Sonderzeichen sehen jedoch den Buchstaben aus dem lateinischen Alphabet sehr ähnlich. Dies wurde bei der Demonstration der Sicherheitslücke mit der Domain paypal.com gezeigt, indem als erste a ein kyrillischer Buchstabe benutzt wurde. Zwischenzeitlich hatte das Firefox-Team daher erwogen, die Unterstützung von IDN vorrübergehend zu deaktivieren. Nun wird das Problem jedoch umgangen, indem Firefox in der Adressleiste den bei der DNS-Auflösung verwendeten Punycode anzeigt -- der Domainname paypal.com mit kyrillischem a wird dann beispielsweise als "www.xn--pypal-4ve.com" dargestellt.

Die Mozilla-Entwickler hatten vorher mehrfach betont, dass das Problem mit den Phishing-Attacken über manipulierte IDNs eigentlich kein Fehler der Browser ist, sondern ein Problem in der IDN-Implementation. Die Schwäche sei seit langem bekannt und es gebe Richtlinien, wie Provider, Registries und Registrare dieses Problem umgehen könnten. Dass ähnlich aussehende Zeichen in Domain-Namen einmal Sicherheitsprobleme aufwerfen würden, findet schon im Punycode-RFC 3492 Erwähnung. Mitte 2002 wiesen zudem zwei israelische Studenten ebenfalls auf dieses Problem hin.

Mit Firefox in der Version 1.0 konnte die Mozilla-Foundation einige Erfolge feiern und gegen Microsofts Internet Explorer Marktanteile gewinnen. Vor kurzem freuten sich die Mozilla-Entwickler bereits über 25 Millionen Downloads ihrers Standalone-Webbrowsers. Microsoft sah sich mittlerweile sogar gezwungen, entgegen den ursprünglichen Plänen eine neue selbstständige Version des Internet Explorer anzukündigen, die für mehr Sicherheit sorgen soll -- ursprünglich sollte ein neuer Microsoft-Webbrowser mit der nächsten Windows-Version Longhorn verzahnt werden.

Das deutsche Version 1.0.1 ist derzeit noch nicht überall verlinkt; sie steht unter anderem auf dem Mozilla-FTP-Server zum Download bereit. (thl)