Michal Zalewski, Spezialist für Browser-Sicherheit, hat wieder einmal zugeschlagen: Vier Online-Demos führen bislang unbekannte Schwachstellen im Internet Explorer 6 und 7 sowie Firefox 2.0.x vor.

Durch eine Race Condition beim Navigieren zu einer neuen Seite ist es möglich, die Domain-Policy des Internet Explorers durcheinander zu bringen. Diese verhindert normalerweise, dass ein Seite aus der Domain A auf Inhalte einer aus der Domain B stammenden Seite zugreifen kann. Mit JavaScript gelingt es Zalewski diese Restriktion zu umgehen. Allerdings ist die Demo etwas wackelig; unter anderem fließt laut Beschreibung das Zeitverhalten im Netzwerk ein. Immerhin war die Demo im Test in der Lage, ein Google-Cookie nach einer längeren Versuchsdauer auszulesen. Zudem soll es so möglich sein, Formulare in anderen Seiten zu manipulieren. Nach Ansicht von Zalewski bricht damit das gesamte Sicherheitsmodell des Browsers aus Redmond zusammen.

Die zweite Demo zeigt, wie eine bösartige, im Firefox geöffnete Seite die Tastatureingaben in einer anderen geöffneten Seite mitlesen kann. Die Ursache des Problems liegt laut Beschreibung darin, dass man IFRAMES in Seiten durch Verwendung der document.write()-Methode austauschen kann. Das Problem sei zwar seit 2006 bekannt, allerdings nur teilweise behoben.

In einer dritten Demonstration führt Zalewski vor, wie man ein System durch eine Schwachstelle im Firefox ausspionieren kann. Dazu versucht eine Art Minispiel den Anwender dazu zu bringen, in bestimmten Momenten die Return-Taste zu drücken. In Wirklichkeit quittiert der Anwender damit aber einen nicht sichtbaren Sicherheitsdialog, sodass der Exploit den Inhalt des Wurzelverzeichnisses auslesen kann. Prinzipiell ließen sich damit auch Dateien herunterladen oder starten.

Zuletzt stellt Zalewski noch ein Problem im Internet Explorer 6 vor, mit dem sich die Adresszeile fälschen lassen soll. Allerdings ist auch diese Demo recht wacklig, im Test der heise-Security-Redaktion funktionierte sie nicht.

Darüber hinaus berichtet Thor Larholm von einer weiteren Schwachstelle in Firefox 2.0.0.4, mit der sich ebenfalls Dateien auf einem Windows- oder Unix-System auslesen lassen sollen. Dazu genügt die Angabe einer URL mit einem bestimmten resource://-Protokol-Handler.

Links:
- Quelle