Hilfe
Neues Thema
Antworten
geschrieben heise.de sagte:
Ein Mozilla-eigenes Stylesheet-Element lässt sich zur Ausführung von beliebigem JavaScript-Code im Kontext einer anderen Website ausnutzen.
Das nur von Browsern der Mozilla-Familie unterstützte Element für Cascading Stylesheets (CSS) "-moz-binding" lässt sich nutzen, um mit Hilfe einer manipulierten Website beliebigen JavaScript-Code in das Document Object Model (DOM) des Browsers einzuschleusen. Dadurch ist es möglich, so genannte Inter-Domain-Zugriffe auf Daten durchzuführen, die andere Websites zur Identifizierung des Nutzers im Browser hinterlegen, wie beispielsweise Cookies und Session-IDs. Schlimmstenfalls kann ein Angreifer durch dieses Cross-Site-Scripting (XSS) auf den Namen des Opfers beispielsweise Bezahldienste und Online-Portale nutzen und Zugang zu weiteren sensiblen Daten erlangen.
Betroffen von dem Problem sind alle Browser der Mozilla-Familie einschließlich Netscape und Firefox. Auch das gerade erst freigegebene Update auf Firefox 1.5.0.1 behebt das Problem noch nicht. Ursprünglich sollte "-moz-binding" Stylesheet-Entwicklern stärkeren Einfluss auf das Erscheinungsbild des Browsers ermöglichen. Doch ähnlich der DHTML-Lücke des Internet Explorers und der Chrome-Problematik von Mozilla bergen derartige Funktionen auch ein häufig unterschätztes Potenzial für Missbrauch.
Das nur von Browsern der Mozilla-Familie unterstützte Element für Cascading Stylesheets (CSS) "-moz-binding" lässt sich nutzen, um mit Hilfe einer manipulierten Website beliebigen JavaScript-Code in das Document Object Model (DOM) des Browsers einzuschleusen. Dadurch ist es möglich, so genannte Inter-Domain-Zugriffe auf Daten durchzuführen, die andere Websites zur Identifizierung des Nutzers im Browser hinterlegen, wie beispielsweise Cookies und Session-IDs. Schlimmstenfalls kann ein Angreifer durch dieses Cross-Site-Scripting (XSS) auf den Namen des Opfers beispielsweise Bezahldienste und Online-Portale nutzen und Zugang zu weiteren sensiblen Daten erlangen.
Betroffen von dem Problem sind alle Browser der Mozilla-Familie einschließlich Netscape und Firefox. Auch das gerade erst freigegebene Update auf Firefox 1.5.0.1 behebt das Problem noch nicht. Ursprünglich sollte "-moz-binding" Stylesheet-Entwicklern stärkeren Einfluss auf das Erscheinungsbild des Browsers ermöglichen. Doch ähnlich der DHTML-Lücke des Internet Explorers und der Chrome-Problematik von Mozilla bergen derartige Funktionen auch ein häufig unterschätztes Potenzial für Missbrauch.
heise.de Artikel
BugZilla Eintrag
Dieser Beitrag wurde von sparkle bearbeitet: 02. Februar 2006 - 16:02
Nach oben
