17 Jahre alte Sicherheitslücke in Firefox erlaubt Datendiebstahl

Der Mozilla-Browser Firefox wird bereits seit mehr als 17 Jahren mit einer Sicherheitslücke ausgeliefert, die Angreifern das Auslesen und Abrufen lokal gespeicherter Daten ermöglicht. Davor warnt der Sicherheitsforscher Barak Tawily in einem Blogpost. Tawily machte sich für das Angriffsszenario die Implementierung der sogenannten „Same-Origin-Policy“ für URIs (Uniform Resource Identifier) mit dem „file:“-Schema zunutze. Diese Richtlinie soll eigentlich verhindern, dass eine Datei auf Bereiche außerhalb des Speicherortes zugreift. Zugleich ermögliche sie aber den Zugriff auf sämtliche Daten, die innerhalb des Speicherordners liegen.

Speichert der Nutzer beispielsweise eine manipulierte HTML-Datei eines Angreifers in seinem /home/-Ordner ab, könnte ein Angreifer mit Tricks Zugriff auf alle Dateien dieses Ordners und darunter liegende Ebenen erlangen. Tawily demonstriert eine derartig manipulierte HTML-Datei in einem Video, die beim Öffnen den Ordnerinhalt in einem versteckten iFrame-Element lädt. Ein darüber platzierter Schalter verführt den Nutzer zum Klick, wodurch der Angreifer nun die komplette Ordnerstruktur auslesen und Daten abgreifen kann. Laut Tawily könnte all das aber auch durch geschicktes Clickjacking vom Nutzer weitestgehend unbemerkt erfolgen.

Nur Firefox betroffen

Die Problematik ist Mozilla bereits seit längerer Zeit bekannt. Ein entsprechender Bug-Report wurde bereits Ende April 2002 eingereicht, eine Lösung zeichnete sich jedoch nie ab. Bislang fehlte allerdings trotz der Einstufung als „kritisch“ aber auch ein konkretes Angriffsszenario. Dieses wurde nun von Tawily nachgereicht. Andere Browser, wie Chrome und Safari, verzichten auf die „Same-Origin-Policy“ und gewähren über das „file:„-Schema geöffneten Dateien keinen Zugriff auf die Ordner- und Dateistruktur.