Firefox: Sicherheitslücke beim Addon 'ShowIP'

Dieses Thema im Forum "Hardware & Software News" wurde erstellt von josef.13, 2. Mai 2012.

  1. josef.13
    Offline

    josef.13 Moderator Digital Eliteboard Team

    Registriert:
    1. Juli 2009
    Beiträge:
    16.709
    Zustimmungen:
    16.199
    Punkte für Erfolge:
    113
    Ort:
    Sachsen
    Die Firefox-Erweiterung ShowIP soll dem Internet-Nutzer eigentlich die IP-Adresse der gerade besuchten Seite im Browser zeigen und so für mehr Sicherheit sorgen, da sich auf diese Weise der Server-Standort und somit die Authentizität einer Seite feststellen lässt.

    Nun ist aber herausgekommen, dass das Addon selbst eine Sicherheits-Gefahr darstellt: Wie Carsten 'Cashy' Knobloch unter Berufung auf das Sophos-Blog 'Naked Security' berichtet, hat die beliebte Firefox-Erweiterung ShowIP ein erhebliches Sicherheitsproblem: Und zwar übermittelt das Addon vertrauliche Informationen ungefragt an einen externen Server.
    Genauer gesagt tritt diese Sicherheitslücke seit der am 19. April veröffentlichten Version 1.3 der Erweiterung auf: ShowIP sendet alle Seiten (bzw. den Verlauf), die ein Nutzer besucht hat, unverschlüsselt an den Drittserver ip2info.org. Dabei werden nicht nur "normale" Seitenaufrufe erfasst, sondern auch jene, die man via HTTPS sowie den "Privaten Modus" besucht hat.

    Der Nutzer bekommt im Normalfall nichts davon mit, dieses unerwünschte Schnüffeln lässt sich nur mit Hilfe von Tools wie Wireshark erkennen. Das haben die Sophos-Experten auch getan, nachdem sie von einem Leser auf diesen Umstand hingewiesen worden sind.

    Die erwähnte URL ip2info.org gehört einer deutschen Seite, genauer gesagt einem Berliner Marketing-Unternehmen namens 'Hats On Marketing'. Rob Sanders, der Entdecker dieser Sicherheitslücke, sagte, dass das Problem bereits am 22. April auf der Google-Code-Projektseite von ihm veröffentlicht worden ist, eine Reaktion bekam er aber dort nicht.

    Allerdings hat Firefox-Anbieter Mozilla mittlerweile das Addon auf Version 1.0 zurückgesetzt, diese sollte die IP-Erkennungsfunktion bieten, ohne die gesammelten Daten zu übermitteln. Mozilla gibt außerdem an, dass man mit dem ShowIP-Entwickler zusammenarbeite, um das Problem zu beseitigen.

    Quelle: WinFuture
     
    #1

Diese Seite empfehlen

OK Mehr information

Diese Seite verwendet Cookies. Mit Ihrem Klick auf OK stimmen Sie der Verwendung von Cookies zu. Andernfalls ist die Funktionalität dieser Website beschränkt.