Experten sprechen vom weltweit ersten "inter-protocol exploit". Bisher zielten derartige Angriffe entweder auf das unsichere Programm selbst oder gleich auf das komplette Betriebssystem. Das Vorgehen, IRC über den Webbrowser anzugreifen, ist dagegen neuartig.
Firefox bietet die Möglichkeit, auch IRC-Netze über den Webbrowser zu besuchen. Dies wird im vorliegenden Angriffsszenario ausgenutzt. Der Browser wird mit Hilfe von Javascript-Code in manipulierten Links gezwungen, IRC-Netze zu betreten. Dort wird ein ebenso manipulierter Link in zahlreiche Channels gespammt. Wer mit Firefox im IRC ist und einem dieser Links folgt, dessen Browser fängt ebenfalls an, entsprechende Links zu verbreiten.
Dadurch, dass sich der Angriff auf diese Art und Weise effizient weiterverbreitet, richtet er in den betroffenen IRC-Netzen einiges an Chaos an. "Eine große Anzahl von Nutzern des Netzes Freenode wurde gebannt, weil sie den Link klickten und dann ins IRC kamen und dort Spam verbreiteten," erzählte einer der Angreifer, der unter dem Pseudonym Weev auftrat, gegenüber dem IT-Newsportal The Register. Teilweise sollen sich die Freenode-Admins sogar gegenseitig gebannt haben.
Die Schwachstelle scheint auf allen Firefox-Versionen zu funktionieren. Auf die Möglichkeit angesprochen, auch andere Browser anzugreifen, meinte "Weev", auf Microsoft Internet Explorer und Apple Safari würde der Angriff nicht funktionieren. Bei anderen Browsern sei es dagegen "möglich", dass es ihnen gelingen würde, den Angriff erfolgreich zu portieren. Einzelheiten über den Angriff schreiben die Verantwortlichen auch im Internet.
Im Freenode-Netz kämpft man noch immer mit den Folgen des Angriffs. Andere Netze wie Efnet und OFTC haben dagegen mittlerweile wirksame Gegenmaßnahmen gefunden.
Sicherheitsexperten warnen Benutzer, beim Klicken von Links besondere Vorsicht walten zu lassen. Grundsätzlich sind einige Experten der Ansicht, dass Webbrowser "nicht in der Lage sein sollten, zu anderen als den HTTP-Ports zu verbinden". Diese Beschränkung auf wesentliche Funktionen könnte Sicherheitsprobleme verringern.
Von der für Firefox verantwortlichen Mozilla Foundation gibt es noch keine Stellungnahme. Auch über einen eventuellen Patch ist noch nichts bekannt.
Die Berichte über Browser-Schwachstellen scheinen derzeit nicht abzureißen. Erst kürzlich war der Microsoft Internet Explorer mit einer ganzen Serie von Schwachstellen, von denen einige momentan noch nicht behoben sind, in den Schlagzeilen.
Annika Kremer (g+) am Montag, 01.02.2010 20:39 Uhr
Beispiele? Mir ist aus den letzten Jahren kein Implementierungsfehler bekannt. Gerade auf ebay schalte ich immer noch oft das JavaScript aus (im Opera geht das praktischerweise ohne Zusatztools für jede Site einzeln), weil sonst manch angebot gar nicht sichtbar ist ...
Ist doch schon beendet. Anonymus "aNtiCHrist" hat sich in die Forensoftware gehackt, ein Killfile implementiert und mich dort eingetragen, bevor ich meinen letzten Beitrag schrieb. Das Thema Opera dürfte somit erledigt sein. :T Zurück zum eigentlichen Thema also? Gerne doch! :) ...
Ist gut jetzt. So langsam nimmt das OT hier Überhand, beendet das bitte. ...
Ich weiß nämlich sehr gut, dass es verdammt schwierig werden wird, auch nur zehn Sites zusammen zu bekommen. Nö. Soll ich jetzt ernsthaft Opera installieren und selbst suchen, nur weil du nicht bereit bist, mal einem Link zu folgen? Zude ...
Ich suche mir doch nicht selbst die Belege für deine haltlosen Behauptungen. Das wäre ja noch schöner. Ich weiß nämlich sehr gut, dass es verdammt schwierig werden wird, auch nur zehn Sites zusammen zu bekommen. Zudem gehst du weiterhin nicht auf relevante Argumente von mir ein und kommst mit immer ...
News Redaktion am 31.10.2014, 17:42 Uhr
In Kanada wurde diesen Monat ein jahrelanger Rechtsstreit zwischen Google und einer Frau beigelegt, die durch Street View ihre Privatsphäre verletzt sah. Die Aufnahme von ihrem Haus aus Straßensicht zeigte die Kanadierin auf ihrer Veranda mit teilweise entblößtem Oberkörper. Die geforderten 45.000 Kanadischen Dollar bekommt die Frau allerdings nicht.