Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Ernsthafte Sicherheitsluecke im Firefox 2.0, Netscape Browser version 8.1.2 und Internet-Explorer Passwortmanager entdeckt!

Mitglied: gnarff

gnarff (Level 2) - Jetzt verbinden

23.11.2006, aktualisiert 07.01.2009, 6399 Aufrufe, 6 Kommentare

Durch Ausfuehrung eines Angriffs auf die Reverse Cross-Site Requests, kann ein Angreifer Zugriff
auf die in Firefox 2.0 und IE gespeicherten Passwoerter erhalten.
Die Passwoerter werden dabei ohne das Wissen des Benutzers an einen Rechner
des Angreifers gesendet.

Dieser Fehler ist relevant fuer Diejenigen, die Web-blogs besuchen oder Foren, in denen der
User eigne HTML-Codes einfuegen kann; z.B. in den Postings etc.
Sowie fuer Webmaster, die solche Foren betreiben...

Diese Sicherheitsproblem betrifft auch die Internet-Explorer von Microsoft und Netscape,
unter Firefox ist der Angriff allerdings erfolgreicher durchfuehrbar.

Chapin Information Services [ CIS] hat diesen BUG Mozilla gemeldet
https://bugzilla.mozilla.org/show_bug.cgi?id=360493
und soll mit der Version 2.0.0.1 oder 2.0.0.2. gefixt werden.

Microsoft hat sich wie immer auf ihre Firmenpolitik
berufen "wir wissen alles, aber wir sagen nichts!"

Eine kleine Proof of Concept-Demo gibt es hier:
http://www.info-svc.com/news/11-21-2006/rcsr1/
bzw. ohne Flash-Animation:
http://www.heise-security.co.uk/services/browsercheck/demos/moz/pass1.s ...

Workarounds:

1.Webmaster sollten ihren Server-code einer Revision unterziehen und auf Moeglichkeiten
von XSS und RCSR-Injection ueberpruefen, besonders dann, wenn sie verschluesselte Websites [HTTPS] betreiben.

Durch den oben beschriebenen BUG braucht ein Angreifer keinen direkten Zugriff
auf den Server zu erlangen um einen Angriff durchzufuehren.

2. Benutzer sollten, bis es einen Bugfix gibt, den Passwortmanager nicht mehr benutzen und darueberhinaus
alle bereits gespeicherten Passwoerter loeschen. Auch die "Auto-Vervollstaendigen"- Funktion sollte nicht mehr benutzt werden!


[original-advisory: CIS, 22.11.2006, 03:57AM, bugtraq]
link mit ausfuehrlicheren Informationen und schicken Grafiken: http://www.info-svc.com/news/11-21-2006/

saludos
gnarff

[updated: 24.11.2006, Netscape 8.1.2.]
Mitglied: erikro
23.11.2006 um 19:20 Uhr
Hallo zusammen,

geht der exploit nur, wenn shockwave installiert ist? Ich habe gerade das Demo ausprobiert. Shockwave und Co kann ich nicht (64 bit Linux) und will ich auch nicht. Wäre ja noch schöner, wenn hier jeder Hans und Franz Code ausführen dürfte. ;)

Liebe Grüße und danke für die Warnung

Erik
Bitte warten ..
Mitglied: gnarff
23.11.2006 um 21:33 Uhr
hallo erikro!
ich sitze hier grad vor einem Windowsrechner 64bit CPu mit 32 bit XP pro, ohne Flash Player und es funktioniert. In der Adresszeile des Browsers erscheint, nachdem man wieder zu Google umgeleitet wurde, der Benutzername und das Passwort im Klartext, in folgendem Ausgabeformat:
[...]loginuser=jan&loginpass=klokopp
...wobei klokopp das von mir gewaehlte Testpasswort war.;O

bei diesem Test wird auf deinem Rechner kein anderer Code ausgefuehrt, weder von Hans noch von Franz.;)

der BUG betrifft alle Betriebssyteme. Beim IE natuerlich nur Windows.

ich versuche gerade herauszufinden, ob die Vorgaengerversion 1.5.08. auch davon betroffen ist und ob der Netscape 8 das gleiche Problem aufweist.

saludos
gnarff
Bitte warten ..
Mitglied: erikro
23.11.2006 um 22:02 Uhr
Hallo gnarff,

Player und es funktioniert. In der
Adresszeile des Browsers erscheint, nachdem
man wieder zu Google umgeleitet wurde, der

Ich werde aber gar nicht zu google umgeleitet. oder vielleicht lieber ??? Ich sehe nur das Puzzleteil und, wenn ich drauf klicke, dann teilt mir mein kleiner Drache mit, dass ich shockwave-flash brauche.

bei diesem Test wird auf deinem Rechner kein
anderer Code ausgefuehrt, weder von Hans noch
von Franz.;)

Ja klar doch. Wenn ich ein Flash abspielen lasse, dann wird fremder Code auf meinem Rechner ausgeführt. Oder etwa nicht? Das ist bei Flash immer so. Genauso wie bei Javascript und Java-Applets oder gar (igittigitt) ActiveX. Und sowas kommt mir nicht auf den Rechner. ;)

Liebe Grüße

Erik
Bitte warten ..
Mitglied: Biber
23.11.2006 um 23:01 Uhr
@gnarff
ob die Vorgaengerversion 1.5.08. auch davon betroffen ist
Jepp. Ist sie.

Danke für den Hinweis.
Aber, was mich erstaunt - gibt es unter uns tatsächlich noch Jungs und Mädels, die Passworte [sogar im Browser!] speichern lassen???

Man/frau kann doch 85% der auf Normal-Windows gespeicherten Passworte auch ohne Hauptschulabschluss in 2 Minuten wieder auslesen... diese ganzen Outlook + Internet + Office-Passwort-Krücken.

Hat sich da tatsächlich jemand in Sicherheit gewiegt?

Muchos saludos nach Costa Rica
Biber
Bitte warten ..
Mitglied: gnarff
24.11.2006 um 03:04 Uhr
@Biber
@gnarff
> ob die Vorgaengerversion 1.5.08. auch
davon betroffen ist
Jepp. Ist sie.

danke fuer die rueckmeldung...
Hat sich da tatsächlich jemand in
Sicherheit gewiegt?

nein, wohl kaum. eher die macher der browser, die den benutzer in sicherheit wiegen wollten
Muchos saludos nach Costa Rica
Biber
gracias, cuate, igualmente...

@Erik
dass die flash-animation nicht bei dir gezeigt wird bedeutet jedoch nur, dass du die demo nicht "geniessen" kannst und nicht, dass du von der sicherheitsanfaelligkeit ausgenommen bist.
Vielleicht war das eine etwas unglueckliche wahl des CIS-teams, genausogut haetten sie das konterfei eines weihnachtsmannes nehmen koennen, und sagen, klick mal darauf...

das mit hans und franz und dem fremden code war mehr im uebertragenen sinne gemeint, die CIS-website ist 100%ig trusted und ohne arg...;)

der Netscape 8 ist uebrigends, so habe ich jetzt ermitteln koennen, ebenfalls betroffen.
mehr dazu morgen...

buenas noches y saludos
gnarff
Bitte warten ..
Mitglied: erikro
24.11.2006 um 12:37 Uhr
Hallo zusammen,

dass die flash-animation nicht bei dir
gezeigt wird bedeutet jedoch nur, dass du die
demo nicht "geniessen" kannst und
nicht, dass du von der
sicherheitsanfaelligkeit ausgenommen bist.

Das wollte ich wissen. Inzwischen habe ich ein alternatives Demo bei Heise gefunden, das ohne Flash auskommt:

http://www.heise-security.co.uk/services/browsercheck/demos/moz/pass1.s ...

Liebe Grüße

Erik
Bitte warten ..
Ähnliche Inhalte
Webbrowser

Verursacht das Firefox Screenshots -Feature eine Sicherheitslücke im Browser?

Frage von itebobWebbrowser3 Kommentare

Mozilla Entwickler haben ab der Version 55.0 ein Firefox Screenshots -Feature als System-Addon eingebaut - s. eine Kompaktbeschreibung "How ...

Webbrowser

Starte bei Opera ein Browser Spiel und will über Internet Explorer starten

Frage von icechillaWebbrowser2 Kommentare

Guten Abend, folgendes Problem ich möchte bei Opera ein Brower Spiel starten dabei wird dann das Spiel für den ...

Windows Server

Zertifikat funktioniert mit Internet Explorer bei Firefox und anderen kommt Fehlermeldung

gelöst Frage von 116480Windows Server6 Kommentare

Hallo, ich habe aus einem *.pfx File 3 Exporte gemacht Export the private key file from the pfx file ...

Webentwicklung

Wie kann man sich im Browser die HTTP 2.0 Header anschauen?

Frage von CodehunterWebentwicklung1 Kommentar

Moin! Ich experimentiere derzeit mit HTTP 2.0 Preloads. Meine einzige Möglichkeit das korrekte Funktionieren zu kontrollieren ist derzeit, in ...

Neue Wissensbeiträge
Humor (lol)
(Part num your Hacked phone. +XX XXXXXX5200)
Erfahrungsbericht von Henere vor 23 StundenHumor (lol)1 Kommentar

Mein Handy hat aber ne ganz andere Endnummer. Muss ich mir jetzt Sorgen machen ? :-) Vielleicht betrifft es ...

Exchange Server

Letztes Update für Exchange 2016 CU9 war in gewisser Weise destruktiv

Erfahrungsbericht von DerWoWusste vor 1 TagExchange Server6 Kommentare

Kurzer Erfahrungsbericht zu Exchange2016-KB4340731-x64 Der Exchangeserver hat wie gewöhnlich versucht, es in der Nacht automatisch zu installieren - abgesehen ...

Erkennung und -Abwehr

Neue Sicherheitslücke Foreshadow (L1TF) gefährdet fast alle Intel-Prozessoren

Information von Frank vor 1 TagErkennung und -Abwehr3 Kommentare

Eine neue Sicherheitslücke, genannt Foreshadow (alias L1TF) wurde auf der Usenix Security 18 von einem Team internationaler Experten veröffentlicht. ...

Vmware
VMware Updates gegen L1 Lücke
Information von sabines vor 2 TagenVmware

Für die Vmware Produkte vCenter Server, ESXi, Workstation und Fusion stehe Updates bereit um die L1 Lücke zu schließen. ...

Heiß diskutierte Inhalte
Windows Server
Domäne einsilbig mit nur einem Namen benannt - sowie AD und MX auf einer VM Kardinalsfehler?
Frage von TomTestWindows Server51 Kommentare

Hallo liebe Freunde gepflegter Probleme, seit kurzem soll ich eine Domäne verwalten die zuvor von einem IT-Dienstleister erstellt und ...

DNS
Gibt es eine Art DNS Proxy?
Frage von icepietDNS16 Kommentare

Hallo Nerds, Ich würde gerne folgendes machen: ts.domain.de:3389 soll auf 1.2.3.4:3389 auflösen ts2.domain.de:3389 soll auf 1.2.3.4:3390 auflösen Gibt es ...

Windows Server
Windows Server per Web auf Daten zugreifen und verwalten
Frage von matze2090Windows Server16 Kommentare

Hallo, ich würde gerne von außen auf meinem Windows Server zugreifen um auf meine Daten zu verwalten. Meine frage ...

DSL, VDSL
Router Neustarts
Frage von XerebusDSL, VDSL16 Kommentare

Hallo an alle, ich hab eine Problem mit dem Neustart von meiner Fritz Box wo ich einfach nicht mehr ...