Thema: Firefox ...

[SiLæncer]

Die Mozilla Foundation vergibt regelmäßig Prämien an Sicherheitsspezialisten für den Erhalt von Informationen über kritische Lücken in seinem Web-Browser Firefox. Diesmal hat jedoch ein 12-Jähriger für das Finden einer Sicherheitslücke eine Prämie von 3000 US-Dollar erhalten.

Der US-Amerikaner Alexander Miller hatte einen kritischen Fehler in einer JavaScript-Funktion entdeckt und gemeldet. Ausgerechnet eine der am häufigsten benutzten JavaScript-Funktion document.write reagierte in seinen Tests auf sehr lange Zeichenketten mit einem Buffer Overflow, der sich vermutlich zum Einschleusen und Starten von Code ausnutzen lässt. Die Entwickler haben den Fehler neben anderen in den Firefox-Versionen 3.6.11 und 3.5.14 sowie Thunderbird 3.1.5 und 3.0.9 behoben – Alex Miller ist in den Credits als "Security Researcher" aufgeführt.

In US-Medien gab der 12-Jährige an, durch die Erhöhung der Prämie von 500 auf 3000 US-Dollar angespornt worden zu sein. Der Aufwand für die Suche nach einem preiswürdigen Fehler habe ihn jeweils 90 Minuten an 10 Tagen gekostet. Zuvor habe er bereits eine andere Lücke entdeckt und an die Mozilla Foundation gemeldet; sie erfüllte jedoch nicht die Anforderungen.

Quelle : www.heise.de

[SiLæncer]

Die auf der ToorCon vorgestellte Firefox-Erweiterung Firesheep demonstriert eindrucksvoll, wie leicht sich Angreifer Zugriff auf Benutzeraccounts anderer Netzwerknutzer verschaffen können, wenn sie im gleichen Netz – etwa in einem unverschlüsselten WLAN – unterwegs sind. Nach einem Klick auf den Start-Button tauchen in der Sidebar nach und nach die Benutzer-Accounts der anderen Nutzer auf, sobald diese auf einer der vielen unterstützten Web-Angeboten herumsurfen. Derzeit werden unter anderem Facebook, Twitter, Flickr, Amazon, Windows Live und auch Google unterstützt. Klickt der Angreifer auf einen der gesammelten Einträge, zu dem Firesheep oft gleich auch noch Namen und Benutzerbild des Opfers anzeigt, ist er mit allen Rechten auf der jeweiligen Seite eingeloggt.

Account-Klau leicht gemacht: Firesheep
sammelt Cookies anderer Netzwerknutzer.

Firesheep hat es nicht auf das Passwort abgesehen, sondern übernimmt die aktive Session anhand des Cookies, der mit jedem Seitenaufruf – meist unverschlüsselt – übertragen wird. Viele Dienste wickeln nur den eigentlichen Login-Vorgang verschlüsselt ab. Ganz neu ist dieses Angriffsszenario nicht: Robert Graham von Errata Security hat das in ähnlicher Form bereits vor drei Jahren auf der Black-Hat-Konferenz demonstiert.

Firesheep läuft unter Mac OS X und Windows. Unter Windows setzt es die Installation von WinPcap voraus. Die Unterstützung für weitere Seiten kann der Angreifer über Scripte hinzufügen. Viele der betroffenen Webseiten bieten durchaus die Option, sämtliche Anfragen verschlüsselt über HTTPS abzuwickeln, was den Cookie-Klau verhindert. Die Firefox-Erweiterung HTTPS Everywhere wechselt bei bekannten Seiten automatisch auf die verschlüsselte Version, sofern eine solche angeboten wird.

Quelle : www.heise.de

[SiLæncer]

Eine weitere Alternative zu HTTPS Everywhere ist die Erweiterung ForceTLS, die euren Browser dann zu HTTPS statt HTTP zwingt, sofern die Seite das Protokoll unterstützt (Facebook, Twitter und Google Mail tun dies).





Also – Vorsicht ist besser als Nachsicht


Quelle: Caschys Blog

[SiLæncer]

Bei den am Dienstag gemeldeten Trojaner-Angriffen auf Windows-PCs von Besuchern der Webseite des Friedensnobelpreises haben Kriminelle eine bislang unbekannte Lücke in Firefox verwendet. Genaue Informationen zu der Lücke liegen noch nicht vor. Der Zugriff auf den Bugzilla-Datenbankeintrag ist nur registrierten Entwicklern gestattet.

Dass Angreifer unbekannte Lücken in Firefox ausnutzen, kommt nicht besonders häufig vor. Mitte des vergangenen Jahres tauchte zwar ein Zero-Day-Exploit für Firefox auf, der wurde aber zu dem Zeitpunkt noch nicht für aktive Angriffe missbraucht.

Die Mozilla Foundation hat den neuen Fehler für die Versionen 3.6 und 3.5 bestätigt und stuft ihn als kritisch ein. Der Hersteller arbeitet an einem Patch; bis dahin empfiehlt er, JavaScript zu deaktivieren oder das Plug-in NoScript zu verwenden, um Angriffe ins Leere laufen zu lassen.

Zwar ist die Webseite des Friedensnobelpreises mittlerweile desinfiziert, die Mozilla Foundation vermutet jedoch, dass bereits andere Webseiten den Exploit enthalten und zur Verteilung von Malware benutzen. Wieviele Anwender dem Angriff zum Opfer fielen, ist unbekannt.

Nach Analysen von Trend Micro versucht der Exploit jedoch, nur ältere Windows-Versionen mit Firefox 3.6.x zu infizieren. Bei Windows 7 und Vista (die der Exploit am Browser-Header erkennt) bleibt der Exploit inaktiv – vermutlich weil er dort zu viele Sicherheitshürden nehmen müsste. Der Exploit installiert eine Backdoor (BKDR_NINDYA.A.), die mit verschiedenen Servern Kontakt aufnimmt.

Quelle : www.heise.de

[SiLæncer]

Die Mozilla-Foundation hat die Updates 3.6.12 und 3.5.15 für Firefox sowie Thunderbird 3.1.6 und 3.0.10 für Windows, Linux und Mac OS X veröffentlicht. Sie schließen die kürzlich bekannt gewordene Sicherheitslücke, die bereits für aktive Angriffe auf PCs von Windows-Anwendern benutzt wurden. Die Lücke soll in der Suite SeaMonkey in Version 2.0.10 ebenfalls geschlossen sein. Zum Download steht aber weiterhin nur 2.0.9 zur Verfügung.

Die Lücke beruht nach Angaben der Mozilla Foundation auf einem Heap Overflow in Zusammenhang mit einer kombinierten Verwendung der JavaScript-Funktionen document.write() und appendchild(). Mit den Updates haben die Entwickler innerhalb von zwei Tagen nach Bekanntwerden des Problems reagiert.

Quelle : www.heise.de

[SiLæncer]

Seit einigen Tagen macht Firesheep im Netz (beziehungsweise offenen Netzen) die Runde. Sicher ist der, der sichere Verbindungen mit den Servern aufbaut. Neben diversen Erweiterungen für Browser gibt es jetzt auch das kleine Windows-Progrämmchen FireShepherd.

Dieses Programm flutet das offenen Netz mit sinnlosen Informationen für Firesheep, sodass dieses sich in das digitale Nirvana verabschiedet.

Quelle: Caschys Blog

[SiLæncer]

Die Entwickler von Firesheep stehen zwar weiterhin unter heftiger Kritik für die Veröffentlichung ihres Cookie-Klau-Plug-ins. Allerdings haben sie damit bereits bewirkt, dass Microsoft nun seinen E-Mail-Dienst Hotmail/Windows Live komplett auf SSL umstellen will. Das berichtet die US-Newseite Digital Society. Die Umstellung soll noch im November erfolgen.

Bislang war standardmäßig nur die Übertragung der Anmeldedaten im Browser verschlüsselt, die anschließende Übertragung der Seiten und des Anmelde-Cookies erfolgte im Klartext. Firesheep ist in der Lage, etwa in öffentlichen WLANs diese Daten zu sammeln und zum Zugriff auf fremde Konten bereit zu stellen. Das Tool ist so einfach zu bedienen, dass auch Skript-Kiddies etwa im Starbucks nebenan damit Schindluder treiben können.

Tools wie FireShepard versuchen die Datenkollekte von Firesheep zu stören, indem sie das WLAN mit Daten zumüllen und das Plug-in damit zum Absturz bringen. Das grundlegende Problem löst dieser Gegenangriff jedoch nicht. Plug-ins wie HTTPS Everywhere für Firefox können immerhin eine automatische Umleitung auf SSL-gesicherten Seiten vornehmen – aber nur, wenn der Server dies auch unterstützt.

Facebook hat angekündigt, für die nicht durchgängige Verschlüsselung der Verbindung in den kommenden Monaten eine Lösung parat zu haben. Bis dahin solle man beim Senden und Empfangen von Daten in öffentlichen WLANs vorsichtig sein. Betroffen sind noch viele weitere Dienste und Seiten, darunter Twitter, Flickr und Amazon.

Ein Anekdote zu praktischen Tests mit Firesheep erzählt der Entwickler Gary LosHuertos in seinem Blog. Nach dem Sammeln von mehreren Zugriffsdaten für Facebook und andere Konten in einem Starbucks-Cafe versuchte er, die Opfer auf das Problem aufmerksam zu machen. Dazu sendete er teilweise über deren eigene Facebook-Konten Warnungen, dass man auf ihre Konten zugreifen könne.

Einige reagierten zwar, indem sie sich kurz abmeldeten. Kurze Zeit später waren sie aber wieder "drin" und reagierten auf weitere Warnungen nicht mehr. LosHuertos' Fazit seines kurzen Tests: Die eigentliche Sicherheitslücke liegt immer in der (falschen) Einschätzung der Bedrohung durch den Anwender.

Quelle : www.heise.de

[SiLæncer]

Microsoft hatte schon im September angekündigt, Hotmail durchgehend verschlüsseln zu wollen. Somit ist dies doch keine direkte Reaktion auf Firesheep.

Quelle : www.heise.de

[SiLæncer]

Die Resonanz auf das Firefox-Plug-in Firesheep ist weiterhin gewaltig, weil es so einfach zu bedienen ist und weiterhin zahlreiche Dienste und damit auch Anwender verwundbar sind. Mit Firesheep kann sich ein Angreifer in öffentlichen Netzen Zugriff auf die Accounts anderer Netzwerknutzer verschaffen. Rund 673.000 Downloads zeigt der Zäher auf github.com bislang an.

Unterdessen machen sich Sicherheitsforscher Gedanken darüber, wie man Angriffe mit dem Tool erkennen, abwehren oder verfeinern kann. Der Sicherheitsdienstleister ZScaler hat zur Alarmierung von Anwendern das Firefox-Plug-in Blacksheep veröffentlicht. Es sendet gefälschte Cookies ins Netz und beobachtet, ob jemand mit dem mitgelesenen Cookie versucht, auf eine Webseite zuzugreifen. Geschieht dies, so setzt jemand im Netz Firesheep oder ähnliche Tools ein. Blacksheep blendet dann im Browser eine Warnung mit der IP-Adresse des Angreifers ein. Blacksheep beruht auf dem Quellcode von Firesheep.

Blacksheep funktioniert laut Zscaler unter WIndows und Mac OS X, eine Linux-Version soll bald folgen. Unter Windows ist zusätzlich die Installation der Netzwerkbibliothek WinPcap erforderlich. Allerdings unterstützt WinPcap nicht jeden WLAN-Treiber, sodass Blacksheep nicht von jedem Windows-Anwender im WLAN nutzbar ist.

Das Unternehmen Antago hingegen hat eine Anleitung vorgestellt , wie man mit Firesheep auch in geswitchten Netzen auf einfache Weise Cookies sammeln kann. Standardmäßig ist Firesheep bislang auf geteilte Übertragungsmedien, also etwa unverschlüsselte WLANs, beschränkt, beziehungsweise auf solche, in denen alle den gleichen Schlüssel benutzen. Dann kann jeder alle Pakete im WLAN mitlesen.

In kabelgebundenen, geswitchten Netzwerken sieht man normalerweise nur den eigenen Datenverkehr und nicht den der anderen Anwender. Mit ARP-Spoofing kann man aber den Verkehr anderer PCs über seinen PC umleiten (MiTM), indem man den ARP-Cache anderer Systeme und die Zuordnung von Mac- zu IP-Adresse manipuliert. Weitere Infos zu ARP-Spoofing enthält der Artikel "Angriff von innen - Technik und Abwehr von ARP-Spoofing-Angriffen " auf heise Security.

Antagos Anleitung zeigt, wie man ein frei verfügbares ARP-Spoofing-Tool mit einem kleinen Windows-Programm und Firefox kombiniert. Ein Klick genügt dann, um den Datenverkehr eines bestimmten PC mitzulesen und Cookies zu sammeln. Neu ist diese Angriffsvariante nicht, sie ist aber auch für weniger fortgeschrittene Nutzer leicht nachvollziehbar. Vermutlich dürften Angriffsversuche mit Firesheep demnächst in Unternehmensnetzen verstärkt zu beobachten sein. Antego will mit seiner Anleitung nach eigener Aussage Webseiten wie Facebook, Wer-kennt-wen, StudiVZ und anderen zu einer (schnelleren) Sicherung ihre Seiten bewegen.

Microsoft will noch in diesem jahr seine Mail-Dienste auf SSL umstellen, Facebook irgendwann in den nächsten Monaten.

Quelle und Links : http://www.heise.de/newsticker/meldung/Wettruesten-beim-Cookie-Klau-Tool-Firesheep-1132720.html

[SiLæncer]

Die Sicherheitsexperten von SANS haben auf eine Schwachstelle in Mozilla Firefox 3.6.12 aufmerksam gemacht.

Ein italienisches Entwickler-Team mit Namen Backtrack hat laut SANS Internet Storm Center den Exploit-Code entwickelt. Damit lässt sich von außerhalb ein so genannter Denial-of-Service-Angriff auf Firefox ausüben.Den Code selbst veröffentlicht SANS nicht. Dieser sei aber einfach mittels Suchmaschinen zu finden, da die Programmzeilen bereits auf einigen Portalen herumgeistern.

Quelle : www.tecchannel.de

[SiLæncer]

Eine Schwachstelle im WebSocket-Design hat die Mozilla-Foundation veranlasst, die Unterstützung des Protokolls ab der kommenden Beta-Version 8 für Firefox 4 abzuschalten. Die Schwachstelle ermöglicht es in Zusammenhang mit transparenten Proxies, deren Caches zu vergiften und manipulierte Seiten einzuschleusen.

Ein Angreifer könnte auf diese Weise ein präpariertes JavaScript für Google Analytics in den Proxy-Cache schleusen, das bei allen weiteren Anfragen an die Clients ausgeliefert und in deren Browser ausgeführt wird. Das Problem wurde von einer Forschergruppe bereits im November auf der IETF-Mailingliste beschrieben. In ihrem Dokument machen die Forscher Vorschläge, wie man die Schwachstelle beseitigt.

Die Firefox-Entwickler wollen WebSockets erst wieder anschalten, wenn eine neue, verbesserte Version des Protokolls verabschiedet wird. Der Code bleibt aber weiter im Firefox enthalten, Entwickler können sie für Testzwecke über eine versteckte Option auch wieder aktivieren. Aktuell ist die Protokollversion 76, die bereits von Chrome und Safari unterstützt wird. WebSockets ermöglichen eine dauerhafte Verbindung zwischen Client und Server, wobei der Server eigenständig Daten an einen Client senden kann. Bei herkömmlichen Verbindungen wird der Server vom Client dazu per GET oder POST aufgefordert.

Quelle : www.heise.de

[SiLæncer]

Das britische Unternehmen Context hat bei seiner Untersuchung von WebGL-Implementierungen eine Sicherheitslücke im freien Browser Firefox 4 entdeckt. Dadurch kann ein Angreifer mit einer geeignet präparierten Webseite Screenshots jedes Bildschirmfensters anfertigen. Diese Lücke ist spezifisch für die WebGL-Implementierung in Firefox und tritt nicht in Chrome auf.

In der nächsten Version des Browsers, die um den 21. Juni erscheinen soll, haben die Firefox-Entwickler den Fehler korrigiert. Alternativ können Anwender bereits jetzt eine Beta-Version des Browsers verwenden oder WebGL in seiner about:config-Seite abschalten. Bereits im Mai hatte Context eine Sicherheitslücke in WebGL aufgedeckt, durch die sich per gezielter Überlastung der Grafikkarte unter Windows 7 ein Bluescreen erzeugen ließ. Eine weitere Schwachstelle erlaubte das Umgehen der Same-Origin-Policy. Die Firefox-Entwickler hatten daraufhin in Version 5 des Browsers eine WebGL-Funktion abgeschaltet .

Quelle : www.heise.de

[SiLæncer]

Mozilla hat außer der Reihe ein Sicherheitsupdate für Firefox veröffentlicht, mit dem das SSL-Root-Zertifikat von Diginotar deaktiviert wird. Mozilla reagiert damit auf ein gefälschtes Google-Zertifikat.

Mozilla reagiert wie angekündigt auf ein von Diginotar in Umlauf gebrachtes, gefälschtes SSL-Zertifikat, das alle Subdomains von google.com betrifft, und hat das Root-Zertifikat von Diginotar in Firefox 6.0.1 und Firefox 3.6.21 deaktiviert. Damit erkennen die neuen Firefox-Versionen keine von Diginotar ausgestellten Zertifikate mehr als gültig an.

Eigentlich will Mozilla keine Updates von Firefox außerhalb der alle sechs Wochen stattfindenden Rapid-Releases veröffentlichen. Da das gefälschte Google-Zertifikat aber bereits ausgenutzt wurde, sah sich Mozilla offenbar zum Handeln gezwungen. Auch Microsoft hat Updates angekündigt.

Weitere Änderungen sind in den neuen Firefox-Versionen nicht enthalten. Mozilla rät Nutzern von Firefox trotz des dafür verfügbaren Sicherheitsupdates zum Wechsel auf Firefox 6.0.1. Die neuen Versionen stehen unter mozilla.org/firefox zum Download bereit.

Quelle : www.golem.de

[SiLæncer]

Das Firefox-Addon ShowIP sendet die URLs besuchter Webseiten unverschlüsselt an einen Webdienst namens ip2info.org, berichten Sicherheitsexperten von Sophos in einem Blogbeitrag. Dabei beschränkt sich die Browser-Erweiterung nicht nur auf den normalen Browser-Modus, sie übermittelt auch die per HTTPS aufgerufenen sowie alle im "Private Modus" angesteuerten URLs.

ShowIP zeigt in der Statusleiste des Browsers die IP-Adressen (IPv4/v6) der besuchten Webseite an und bietet darüber hinaus Zugriff auf Dienste wie whois und netcraft. Daher ist die Erweiterung besonders bei Netzwerkern und Entwicklern beliebt, laut Mozilla haben fast 170.000 Firefox-Nutzer das Addon installiert.

Das beschriebene Verhalten zeigen die seit dem 19. April veröffentlichten Versionen 1.3 und neuer. Während auf der Mozilla-Addon-Seite viele Nutzer vor dieser Verletzung der Privatsphäre warnen, versprach der Nutzer ShowIP Dev Team dort inzwischen für die Übertragung der Daten möglichst schnell HTTPS im Addon einzuschalten. Der Dienst ip2info.org gehört laut whois-Eintrag der Marketing- und SEO-Agentur "hats on marketing", einem Tochterunternehmen der Efamous GmbH aus Hofheim/Taunus. Das Unternehmen hat die Weiterentwicklung des Addons offenbar vom ursprünglichen Entwickler Jan Dittmer übernommen.

Quelle : www.heise.de

[SiLæncer]

In den aktuellen Tor-Browser-Bundles (2.2.35-9 auf Windows, 2.2.35-10 auf Mac OS und Linux) wurde ein schwerer Sicherheitsfehler gefunden, die die vom Tor-Netzwerk versprochene Anonymität des Surfers gefährdet: Kommuniziert der im Bundle steckende Firefox über Websockets mit Servern, fragt der Browser das Domain Name System nicht über das Tor-Netz ab und verrät damit potenziellen Lauscher die besuchten Server.

Das Problem lässt sich derzeit nur per Hand abschalten, erklären die Autoren der Fehlermeldung im Tor-Blog: Über die erweiterten Firefox-Einstellungen (nach der Eingabe von "about:config" in der Navigationleiste) lässt sich die Nutzung von Websockets deaktivieren. Die Tor-Entwickler arbeiten zudem gerade an einem neuen Tor-Browser-Bundle und versprechen dort einen bessere Lösung des Problems.

Quelle : www.heise.de