Wichtiges Browser-Updates gegen Datenklau

publiziert: Donnerstag, 20. Dez 2007 / 09:36 Uhr / aktualisiert: Donnerstag, 20. Dez 2007 / 09:54 Uhr

Paris/Oslo - Mozilla hat am Dienstag die Firefox 3.0 Beta 2 vorgestellt. Unter über 900 Verbesserungen gegenüber der ersten Vorversion findet sich ein Sicherheitsupdate, dass eine Anfälligkeit gegen Cross-Site-Scripting (XSS) eliminiert. Fast zeitgleich hat Opera seinen Browser mit Version 9.25 ebenfalls besser gegen XSS abgesichert.

Auch Opera hat seinen Browser mit Version 9.25 besser gegen XSS abgesichert.
Auch Opera hat seinen Browser mit Version 9.25 besser gegen XSS abgesichert.
8 Meldungen im Zusammenhang
«Wenn Cyberkriminelle eine XSS-Lücke in einem Browser nutzen, können sie ein grosses Publikum angreifen», erklärt Thomas Kristensen, Sicherheitsexperte von Secunia, die Wichtigkeit solcher Updates.

Die zweite Version der Firefox 3.0 Beta adressiert als Teil der Updates das Problem sogenannter JSON-Datenlecks, bei denen theoretisch JavaScript-Objektdaten an einen anderen Server umgeleitet werden könnten.

Opera dagegen schliesst mit zwei von insgesamt fünf Fixes potenzielle XSS-Lücken durch Plug-Ins und Rich-Text-Bearbeitung.

Gefährlicher Datendiebstahl

«Es ist sehr wichtig, auf XSS-Schwachstellen in Browsern zu reagieren», meint Kristensen.

Er erläutert das hohe Gefahrenpotential: «Ein XXS-Lücke gegen eine SSL-Site einzusetzen erlaubt falsche Information im Kontext der Site anzuzeigen. Potenziell können so Daten gestohlen werden, die eigentlich an die SSL-Site gehen sollte.»

Es gäbe immer wieder Reports entsprechender Browser-XSS-Schwachstellen auch in Microsofts Internet Explorer, doch seien diese früher häufiger gewesen.

Der allgemein rückläufige Trend solcher Lücken werde sich hoffentlich fortsetzen, denn, so der Sicherheitsexperte: «Browser-Anbieter wissen inzwischen, wie bedeutend XSS-Lücken sind.»

Profitable Sicherheitslücke

XSS-Schwachstellen gibt es nicht nur in Browsern, sondern auch in spezifischen Websites und Anwendungen - und das laut Kristensen relativ häufig. Allerdings sei deren Ausnutzung für Cyberkriminelle deutlich schwieriger. Nutzer müssten erst durch Social Hacking dazu gebracht werden, auf bestimmten Sites entsprechende Aktionen zu setzen.

Allerdings könnte ein entsprechender Exploit bei der richtigen, an sich vertrauenswürdigen Site sehr profitabel sein. Als theoretisches Beispiel führt Kristensen Amazon an. Wer dort eine XSS-Lücke fände, könne Nutzer vermutlich zur Herausgabe von Daten bis hin zur Kreditkartennummer bewegen und so Profit schlagen. Allerdings würde ein so grosses Unternehmen sicher schnell reagieren, falls eine Site-spezifische XSS-Lücke bekannt wird.

Insgesamt sieht Kristensen in Cross-Site-Scripting jedenfalls ein grosses Problem im gegenwärtigen Web. «Wenn ich ein Cyberkrimineller wäre, würde ich mir überlegen, XSS-Lücken auszunutzen. Sie sind leicht zu finden und auszunutzen», bringt er die Problematik auf den Punkt. Damit verleiht er der Bedeutung des Abdichtens entsprechender Lecks durch Anbieter besonderen Nachdruck.

(bert/pte)

Lesen Sie hier mehr zum Thema
Firefox 3: «Intelligenter» Browser im Temporausch
München - «Firefox 3 ist der grösste ... mehr lesen 1
Die komplett überarbeitete Adressleiste soll gemäss Mike Schroepfer das Surferlebnis revolutionieren.
Opera Mobile wurde bislang auf über 100 Millionen Handys vorinstalliert ausgeliefert.
Neue Version von Opera Mobile
Der norwegische Browser-Hersteller ... mehr lesen
Welche Cyber-Bedrohungen erwarten uns 2008?
Behtesda - Das SANS Institute (SysAdmin, Audit, Network, Security) hat in dieser ... mehr lesen
Über 95 Prozent aller Nutzer seien eigentlich behobenen Sicherheitslücken ausgesetzt.
Raff zufolge ist der Firefox in der Version 2.0.0.11 betroffen.
Spoofing-Leck im Firefox
Der israelische Sicherheitsexperte ... mehr lesen
Googles Text-Anzeigen von Trojaner gekapert
Tettnang - Einen Trojaner, der die ... mehr lesen
Google ist gemäss Michael Klatte zu einer wichtigen Zielscheibe von Cyberkriminellen geworden.
Weitere Artikel im Zusammenhang
Mozilla schiesst zurück: «Man kann nicht Äpfel mit Birnen vergleichen».
Microsoft: «Internet Explorer sicherer als Firefox»
Redmond - Der Internet Explorer ist sicherer als Firefox, behauptet Jeffrey R. Jones, Security Strategy Director bei Microsofts Trustworthy Computing Group. Er beruft sich dabei auf die ... mehr lesen
VoIP-Attacke: Erster Computer-Einbruch über SIP
San Jose - Die Sicherheitsspezialisten von Secure Computing sind auf einen ... mehr lesen
Rückschlag für die Internettelefonie über VoIP.

Datenschutz

pfeil
.
news.ch geht in Klausur
Digitaler Strukturwandel  Nach über 16 Jahren hat sich news.ch entschlossen, den Titel in seiner jetzigen Form einzustellen. Damit endet eine Ära medialer Pionierarbeit. mehr lesen 22
Berühmtes Deepfake: Papst Franziskus in fetter Daunenjacke.
Berühmtes Deepfake: Papst Franziskus in fetter Daunenjacke.
Google, Meta und OpenAI engagieren sich im Kampf gegen Deepfakes
Um der steigenden Verbreitung manipulierter Inhalte entgegenzuwirken, haben sich Google, Meta und OpenAI der C2PA angeschlossen. Ihr Ziel ist es, Standards zu entwickeln, um authentische Inhalte von solchen zu unterscheiden, die mithilfe von Künstlicher Intelligenz erstellt wurden. mehr lesen 
Paysafecard - so funktioniert das elektronische Zahlungsmittel
Publinews Die Paysafecard ist ein elektronisches Zahlungsmittel, das auf dem Prepaid-Prinzip basiert. Es ermöglicht Nutzern, online sicher und anonym ... mehr lesen  
Die Paysafecard bietet eine Vielzahl von Vorteilen, die sie zu einer beliebten Wahl für Online-Zahlungen machen.
Cybersicherheit endet nicht beim Passwort
Sicherheit im Internet: Nur jeder fünfte verwendet Zwei-Faktor-Authentifizierung
Publinews Die Zeit von 123456 als populärstem Passwort scheint vorbei zu sein. Laut der 2023er ... mehr lesen  
Grundlagen für Schweizer Datenökosystem beschlossen
Der Bundesrat hat am ein Massnahmenpaket zur Förderung eines Schweizer Datenökosystems verabschiedet. Das Ziel des Datenökosystems ist es, das Potential von Daten in der Schweiz besser auszuschöpfen und diese auf vertrauenswürdige Art und Weise zugunsten der Gesellschaft, der Forschung und der Wirtschaft nutzen zu können. mehr lesen  
Magnettonband mit der Aufnahme von B.B. Kings Konzert am Jazzfestival Montreux von 1980 aus dem Archiv der Claude Nobs Foundation. Das Band befindet sich in einem fortgeschrittenen Stadium des Verfalls, sodass es mit herkömmlichen Methoden nicht mehr direkt abgespielt werden kann.
eGadgets Montreux-Festival: Musik wird mit Röntgenlicht gerettet Das Paul Scherrer Institut hat eine ...
Domain Namen registrieren
Domain Name Registration
Zur Domain Registration erhalten Sie: Weiterleitung auf bestehende Website, E-Mail Weiterleitung, Online Administration, freundlichen Support per Telefon oder E-Mail ...
Domainsuche starten:

 
Letzte Meldungen
Letzte Meldungen
Stellenmarkt.ch
Der Remoteserver hat einen Fehler zurückgegeben: (500) Interner Serverfehler.
Source: http://www.auktionen.ch/ajax/top5.aspx?ID=0&col=COL_3_1
Kreditrechner
Wunschkredit in CHF
wetter.ch
Heute Sa So
Zürich 2°C 14°C wechselnd bewölktleicht bewölkt, ueberwiegend sonnig freundlich wechselnd bewölkt
Basel 5°C 13°C wolkig, aber kaum Regenleicht bewölkt, ueberwiegend sonnig wechselnd bewölkt bedeckt, wenig Regen
St. Gallen 2°C 12°C wechselnd bewölktleicht bewölkt, ueberwiegend sonnig freundlich wechselnd bewölkt
Bern 3°C 12°C wolkig, aber kaum Regenleicht bewölkt, ueberwiegend sonnig wechselnd bewölkt bedeckt
Luzern 3°C 14°C wechselnd bewölktleicht bewölkt, ueberwiegend sonnig freundlich wechselnd bewölkt
Genf 7°C 13°C wechselnd bewölkt, Regenleicht bewölkt, ueberwiegend sonnig wechselnd bewölkt trüb und nass
Lugano 8°C 12°C bedeckt, wenig Regenleicht bewölkt, ueberwiegend sonnig trüb und nass anhaltender Regen
mehr Wetter von über 8 Millionen Orten
 
Fussball.ch
Nebelspalter.ch
Wirtschaft.ch
Egadgets.ch
Greeninvestment.ch
Seminar.ch