Neue Lücke im Firefox (12.03.07 14:19)
Ein Designfehler im Firefox Browser könnte von Phisher ausgenutzt werden, um die Herkunft einer Webseite zu fälschen (Spoofing), so dass z.B. die Webseite einer Bank imitiert werden könnte, ohne dass der Benutzer merkt, dass die Webseite gar nicht auf dem Server der Bank liegt. Der Spezialist Michael Zalewski stellt dafür eine Demo zur Verfügung. Die Lücke läßt sich sowohl in der 1.5 als auch 2.0 Versionsreihe reproduzieren.
Das Problem liegt im Umgang des Browsers mit der URL about:blank, die eine leere Seite öffnet. Firefox zeigt dann weder eine URL in der Adresszeile, noch eine Information in der Titelzeile des Browserfensters an. Per Java-Script-Funktionen lassen sich weitere Inhalte in die Seite einbauen.
Wir empfehlen Ihnen daher, Javascript zu deaktivieren, bis die Lücke geschlossen ist. Alternativ hilft das Plugin NoScript, welches Scripting nur auf bekannten Seiten erlaubt.