Chrome und Firefox leiden an Spoofing-Leck

Die Browser Chrome und Firefox sollen laut dem Sicherheitsforscher Rafay Baloch an einer Spoofing-Lücke leiden. Diese soll es Angreifern erlauben, Nutzer auf manipulierte Websiten zu locken, die aber als legitim erscheint. Google und Mozilla haben Baloch für die Details zu der Anfälligkeit zusammen eine Belohnung von 5000 Dollar bezahlt.

Der Fehler tritt bei der Verarbeitung von Internetadressen auf. URLs werden in Sprachen wie Arabisch, die von rechts nach links angezeigt werden, anders dargestellt, als in Sprachen, die von links nach rechts angezeigt werden. Dieses Verfahren kann offenbar benutzt werden, um Adressen im Browser “umzudrehen”.

Aus einer URL wie “127.0.0.1/?/http://example.com” würde im Browser beispielsweise “http://example.com/??/127.0.0.1”. Ein Nutzer wäre also der Meinung, er besuche die Website Example.com, obwohl ihm Inhalte von der IP-Adresse 127.0.0.1 angezeigt werden.

Die Adressleiste sei laut Google jedoch der einzige zuverlässige Indikator für die Sicherheit einer Website, schreibt Baloch in einem Blog. “Wenn der einzige zuverlässige Sicherheitsindikator von einem Angreifer kontrolliert wird, könnte das negative Folgen haben. Zum Beispiel könnte ein Nutzer verleitet werden, vertrauliche Informationen an eine schädliche Website preiszugeben, weil er glaubt, dass er eine legitime Seite besucht, weil die Adressleiste auf die richtige Website verweist.”

Die Spoofing-Lücke steckt in Chrome 52 und früher sowie Firefox 47 und früher. Mozilla hat die Schwachstelle bereits mit Firefox 48 beseitigt. Einem Security Advisory zufolge war nur Firefox für Android anfällig, nicht aber die Desktopversion. Google wird den Fehler laut Baloch mit Chrome 53 beheben.

[mit Material von Stefan Beiersmann, ZDNet.com]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.