Alle Browser erlauben das Entführen von Mausklicks

Dieses Thema im Forum "Netzwelt" wurde erstellt von LLogitech, 29. September 2008 .

Schlagworte:
  1. 29. September 2008
    Sicherheitsforscher warnen, dass eine lange unterschätzte Gefahr weitaus schlimmere Folgen haben kann als bislang angenommen. So könnten Angreifer vorhandene Schaltflächen in Web-Seiten mit eigenen Buttons überdecken, um beliebige Aktionen auszulösen.

    Die Sicherheitsforscher Robert Hansen von SecTheory und Jeremiah Grossman von WhiteHat Security haben eine an sich schon länger bekannte Angriffsmethode näher untersucht und sind zu alarmierenden Ergebnissen gekommen. Die als "Clickjacking" bezeichnete Methode wurde bis dahin unterschätzt und nur mit Klick-Betrug oder der Manipulation von Umfragen in Verbindung gebracht. Wie Hansen und Grossman heraus gefunden haben, ist jedoch wesentlich mehr möglich.

    Hansen und Grossman hatten zunächst einen Vortrag auf der OWASP-Konferenz (Open Web Application Security Project) angekündigt, diesen jedoch auf Bitten von Adobe zurück gezogen. Einige Details haben sie auf der OWASP-Konferenz dann doch im kleinen Kreis mit Kollegen diskutiert.
    Ein Angreifer könnte auf einer Website, die bereits Schaltflächen enthält, einen transparenten und somit für den Anwender unsichtbaren Button über eine vorhandene Schaltfläche legen. Klickt ein Anwender auf den Button, wird eine vom Angreifer definierte, beliebige Aktion ausgelöst. So könnte etwa eine Schaltfläche, die zum Absenden von Anmeldedaten dient, mit einer anderen überdeckt werden, die diese Daten an einen Server den Angreifers sendet.
    Eine andere Variante wäre der Start eines Downloads von Malware. Hansen nennt außerdem eine vordefinierte Script-Aktion als Beispiel, die den Firewall-Router des Opfers anweist alle Firewall-Regeln zu löschen. Dazu, wie ein solcher Angriff ausgeführt werden kann, machen die Sicherheitsforscher keine Angaben.
    Das Problem betrifft alle Web-Browser und auch einige Plugins, die für interaktive Web-Inhalte genutzt werden. Die Forscher haben mit Browser-Herstellern Kontakt aufgenommen und ihnen das Problem dargelegt. Sie geben an, die Hersteller würden bereits an Lösungen arbeiten, ebenso Adobe. Welche Adobe-Software betroffen ist, verraten Hansen und Grossman noch nicht - es könnte sich um den Flash Player handeln. Bisher gibt es jedoch noch keine Äußerungen von Browser-Herstellern dazu, wann es entsprechende Updates für ihre Produkte geben wird, die das Problem beseitigen oder zumindest verringern.
    Für den Moment sind Benutzer von Firefox, die die Erweiterung NoScript benutzen, am besten geschützt. Laut Hansen verhindert diese Kombination 99,99 Prozent der denkbaren Angriffsszenarien. Sie sei allerdings eher etwas für Fortgeschrittene, schränkt Hansen ein.

    Quelle: Alle Browser erlauben das Entführen von Mausklicks - Clickjacking - Sicherheitslücken - PC-WELT
     
  2. 29. September 2008
    AW: Alle Browser erlauben das Entführen von Mausklicks

    naja ... irgendwann ist eh niemand mehr sicher ... so wie das internet an bedeutung zunimmt ist es natürlich auch für die negative kehrseite immer interessanter die daten anderer leute zubekommen ...

    ich denke dass dieses beschriebene szenario nur eine kleine neuerung der möglichkeiten der hacker darstellt ... warten wir mal ab
     
  3. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.