Mozilla, Netscape und Firefox angreifbar!
Das nur von Browsern der Mozilla-Familie unterstützte Element für Cascading Stylesheets (CSS) "-moz-binding" lässt sich nutzen, um mit Hilfe einer manipulierten Website beliebigen JavaScript-Code in das Document Object Model (DOM) des Browsers einzuschleusen.
Dadurch ist es theoretisch möglich, sogenannte Inter-Domain-Zugriffe auf Daten durchzuführen, die andere Websites zur Identifizierung des Nutzers im Browser hinterlegen (Cookies und Session-IDs). Schlimmstenfalls kann ein Angreifer durch dieses Cross-Site-Scripting (XSS) auf den Namen des Opfers beispielsweise Bezahldienste und Online-Portale nutzen und Zugang zu weiteren sensiblen Daten erlangen.
Betroffen von diesem ernst zu nehmenden Problem sind alle Browser der Mozilla-Familie einschließlich Netscape und Firefox.
Die Frechheit schlechthin ist die Tatsache, dass auch das gerade erst freigegebene Update auf Firefox 1.5.0.1 das Problem noch nicht beheben kann. Ursprünglich sollte "-moz-binding" Stylesheet-Entwicklern stärkeren Einfluss auf das Erscheinungsbild des Browsers ermöglichen. Doch ähnlich der DHTML-Lücke des Internet Explorers und der Chrome-Problematik von Mozilla bergen derartige Funktionen auch ein häufig unterschätztes Potenzial für Missbrauch.
Somit sei gesagt, dass Firefox definitiv nicht sicherer ist als der IE! Rechnet man die Fehlerquote in Relation zum Marktanteil, dann kann auf den ersten Blick erkannt werden, dass die Mozilla-Boys bei den Fehlern schneller aufholen...
Netscape hat nun auch wieder eine Lücke mehr...aber der Marktanteil ist ja sehr gering...
Quelle: http://www.heise.de
