Burgerdri
01.06.07, 02:58
Der freie Browser Firefox erfreut sich zunehmender Beliebtheit. Rund ein Viertel aller Websurfer nutzt den wichtigsten Konkurrenten von Microsofts Internet Explorer mittlerweile. Ein Teil des Erfolges basiert auf der Möglichkeit, neue Funktionen mit Hilfe von Erweiterungen hinzuzufügen.
Doch diese so genannten Extensions können auch ein Sicherheitsrisiko darstellen, wie ein Sicherheitsexperte jetzt warnt. Chris Soghoian warnte in seinem Blog davor, dass selbst besonders beliebte Erweiterungen nicht mit sicheren Verbindungen arbeiten, um sich zu aktualisieren.
Soghoian wurde bekannt, als er eine Software veröffentlichte, mit der man sich gefälschte Boarding-Pässe für Flugreisen ausdrucken konnte. Er wies darauf hin, dass Mozilla Updates zwar selbst über SSL-Verbindungen ausliefert, die Hersteller der beliebtesten Erweiterungen jedoch darauf verzichten.
Das Problem dabei ist, dass Firefox zum Opfer von sogenannten Mittelsmann-Attacken werden könnte. Dabei wird dem Browser vorgegaukelt, dass es sich bei dem heruntergeladenen Programm tatsächlich um die gewünschte Erweiterung handelt, obwohl eigentlich Schad-Software installiert wird.
Andere Sicherheitsexperten sehen das Problem allerdings weniger kritisch. Ein Angreifer müsse einen recht hohen Aufwand betreiben, um die "Lücke" auszunutzen, so ihre Auffassung. Dennoch werde dadurch das gesamte Sicherheitskonzept von Firefox geschwächt, weshalb die Hersteller von Erweiterungen über die Nutzung von SSL-Verbindungen für Updates nachdenken sollten.
Zu den Firefox-Extensions, die sich nicht über eine sichere Verbindung aktualisieren, gehören unter anderem die Toolbars von Google, Yahoo, AOL. Selbst die Anti-Phishing-Erweiterungen von Netcraft und PhishTank verzichten bei Updates auf SSL-Verschlüsselung.
Quelle:
http://www.winfuture.de/news,32055.html
Doch diese so genannten Extensions können auch ein Sicherheitsrisiko darstellen, wie ein Sicherheitsexperte jetzt warnt. Chris Soghoian warnte in seinem Blog davor, dass selbst besonders beliebte Erweiterungen nicht mit sicheren Verbindungen arbeiten, um sich zu aktualisieren.
Soghoian wurde bekannt, als er eine Software veröffentlichte, mit der man sich gefälschte Boarding-Pässe für Flugreisen ausdrucken konnte. Er wies darauf hin, dass Mozilla Updates zwar selbst über SSL-Verbindungen ausliefert, die Hersteller der beliebtesten Erweiterungen jedoch darauf verzichten.
Das Problem dabei ist, dass Firefox zum Opfer von sogenannten Mittelsmann-Attacken werden könnte. Dabei wird dem Browser vorgegaukelt, dass es sich bei dem heruntergeladenen Programm tatsächlich um die gewünschte Erweiterung handelt, obwohl eigentlich Schad-Software installiert wird.
Andere Sicherheitsexperten sehen das Problem allerdings weniger kritisch. Ein Angreifer müsse einen recht hohen Aufwand betreiben, um die "Lücke" auszunutzen, so ihre Auffassung. Dennoch werde dadurch das gesamte Sicherheitskonzept von Firefox geschwächt, weshalb die Hersteller von Erweiterungen über die Nutzung von SSL-Verbindungen für Updates nachdenken sollten.
Zu den Firefox-Extensions, die sich nicht über eine sichere Verbindung aktualisieren, gehören unter anderem die Toolbars von Google, Yahoo, AOL. Selbst die Anti-Phishing-Erweiterungen von Netcraft und PhishTank verzichten bei Updates auf SSL-Verschlüsselung.
Quelle:
http://www.winfuture.de/news,32055.html