SECURITY - Gefahr durch Firefox-Erweiterungen
Eine neue wichtige Information für Firefox-User: Es bestehen Gefahren, beim nutzen der Erweiterungen des beliebten Browsers!
Der Student Christopher Soghoian warnt vor den Firefox-Erweiterungen von Firmen wie Google, Yahoo und AOL, die nicht über die Mozilla Add-ons-Seite ausgeliefert werden. In den allermeisten Fällen nutzen die nämlich für ihre Tests auf neue Updates und deren Download ungesicherte Verbindungen. Hat ein möglicher Angreifer Zugriff auf das verwendete Netz – beispielsweise in einem öffentlichen Funknetz – kann er diese Verbindungen recht einfach so umleiten, dass der Browser ohne Wissen des Anwenders eine Hintertür herunterlädt und dann installiert.
Als prominentes Beispiel führt Soghoian das beliebte Google Pack beziehungsweise die Google Toolbar an. Die meisten kleineren Erweiterungen sind hingegen nicht betroffen, da deren Entwickler meist die von Mozilla bereitgestellte Infrastruktur nutzen, die auf SSL-gesicherte Verbindungen aufsetzt. Die in Firefox/Mozilla implementierten Mechanismen für das Signieren von Code sind bislang ziemlich unterentwickelt und werden wohl auch deshalb praktisch nicht genutzt.
Soghoian hat neben dem Mozilla-Entwicklerteam auch viele große Firmen vor 45 Tagen auf dieses Problem aufmerksam gemacht. Für die Firefox/Ebay -Erweiterung hat das Mozilla-Team innerhalb von zwei Tagen eine überarbeitete Version bereitgestellt. Weitere Reaktionen sind bislang nicht dokumentiert.
Um sich zu schützen, sollten Anwender die betroffenen Erweiterungen zumindest beim Surfen in unsicheren Netzen vorübergehend deaktivieren. Festzustellen, welche Erweiterungen tatsächlich betroffen sind, dürfte im Einzelfall aber nicht ganz einfach sein, im Zweifelsfall sind es alle, die nicht von den offiziellen Mozilla/Firefox-Seiten stammen. Das Mozilla-Team sieht zwar die Verantwortung bei den jeweiligen Herstellern, denkt aber darüber nach, den Update-Mechanismus für Firefox 3 zu überarbeiten.
Eine lösung, dier wirklich sicher ist, wurde nicht genannt. man kann also nur selber aufpassen, was man an Erweiterungen lädt und nutzt und vor allen Dingen, was die Add-Ons im Hintergrund machen! ich persönlich werde mich wohl als erstes von den nicht sicheren Erweiterungen der großen Firmen trennen, denn es ging ja früher auch ohne. Wie mein Opa immer so schön sagte: Früher war alles besser, da war alles aus Holz ;-) Der mann hat so oft Recht gehabt, daß es mir mittlerweile schon peinlich ist :-) Leider ist er tot, Gott hab ihn selig. Aber so ist es ja mit vielen Dingen, erst wenn sie nicht mehr da sind, weiß man sie zu schätzen!
Greetz,
M.
Der Student Christopher Soghoian warnt vor den Firefox-Erweiterungen von Firmen wie Google, Yahoo und AOL, die nicht über die Mozilla Add-ons-Seite ausgeliefert werden. In den allermeisten Fällen nutzen die nämlich für ihre Tests auf neue Updates und deren Download ungesicherte Verbindungen. Hat ein möglicher Angreifer Zugriff auf das verwendete Netz – beispielsweise in einem öffentlichen Funknetz – kann er diese Verbindungen recht einfach so umleiten, dass der Browser ohne Wissen des Anwenders eine Hintertür herunterlädt und dann installiert.
Als prominentes Beispiel führt Soghoian das beliebte Google Pack beziehungsweise die Google Toolbar an. Die meisten kleineren Erweiterungen sind hingegen nicht betroffen, da deren Entwickler meist die von Mozilla bereitgestellte Infrastruktur nutzen, die auf SSL-gesicherte Verbindungen aufsetzt. Die in Firefox/Mozilla implementierten Mechanismen für das Signieren von Code sind bislang ziemlich unterentwickelt und werden wohl auch deshalb praktisch nicht genutzt.
Soghoian hat neben dem Mozilla-Entwicklerteam auch viele große Firmen vor 45 Tagen auf dieses Problem aufmerksam gemacht. Für die Firefox/Ebay -Erweiterung hat das Mozilla-Team innerhalb von zwei Tagen eine überarbeitete Version bereitgestellt. Weitere Reaktionen sind bislang nicht dokumentiert.
Um sich zu schützen, sollten Anwender die betroffenen Erweiterungen zumindest beim Surfen in unsicheren Netzen vorübergehend deaktivieren. Festzustellen, welche Erweiterungen tatsächlich betroffen sind, dürfte im Einzelfall aber nicht ganz einfach sein, im Zweifelsfall sind es alle, die nicht von den offiziellen Mozilla/Firefox-Seiten stammen. Das Mozilla-Team sieht zwar die Verantwortung bei den jeweiligen Herstellern, denkt aber darüber nach, den Update-Mechanismus für Firefox 3 zu überarbeiten.
Eine lösung, dier wirklich sicher ist, wurde nicht genannt. man kann also nur selber aufpassen, was man an Erweiterungen lädt und nutzt und vor allen Dingen, was die Add-Ons im Hintergrund machen! ich persönlich werde mich wohl als erstes von den nicht sicheren Erweiterungen der großen Firmen trennen, denn es ging ja früher auch ohne. Wie mein Opa immer so schön sagte: Früher war alles besser, da war alles aus Holz ;-) Der mann hat so oft Recht gehabt, daß es mir mittlerweile schon peinlich ist :-) Leider ist er tot, Gott hab ihn selig. Aber so ist es ja mit vielen Dingen, erst wenn sie nicht mehr da sind, weiß man sie zu schätzen!
Greetz,
M.
Eingestellt von megablaster Am/um
5/31/2007 03:58:00 PM
0 Kommentare:
Kommentar veröffentlichen
Abonnieren Kommentare zum Post [Atom]
<< Startseite