01. Juni 2007
Posted in Internet News

Ein fast schon strukturell zu nennendes Sicherheitsproblem mehrerer bekannter Firefox-Erweiterungen hat der amerikanische Student Christopher Soghoian entdeckt. Das Problem besteht darin, dass die im Firefox installierten Erweiterungen selbsttätig nach Updates suchen und es dabei auch akzeptiert wird, dass diese Updates von nicht (z.B. per SSL) geschützten Rechnern akzeptiert werden.

Das lässt beispielsweise Man-in-the-Middle-Szenarien zu, bei denen Angreifer die von den Extensions ausgehenden Requests gewissermaßen kapern und eigene "Updates" in den Browsern installieren.

Nicht betroffen von dem Problem sind alle Updates, die über das per SSL geschützte (https:) Mozilla Center für "Firefox Add-ons" erfolgen. Betroffen sind aber die Erweiterungen teilweise führender Online-Angebote wie beispielsweise Google, Yahoo, Del.icio.us, Facebook, AOL, LinkedIn, NetCraft und PhishTank.

Diese Erweiterungen werden über ungeschützte Server auf dem Laufenden gehalten und sind damit angreifbar. Ein beunruhigender Zustand vor allem bei den weit verbreiteten Google-Erweiterungen, bei denen noch dazu das Update still und ohne die sonst übliche Bestätigung erfolgt.

Für den Google Toolbar und Google Browser Sync wird zwar nach Angaben Googles "in Kürze" ein Patch eingespielt - doch auch darüber wird es keine Benachrichtigung geben.