zurück zum Artikel

Es ist höchste Zeit, sich von einem gefährlichen Vorurteil zu verabschieden: Wer mit Mozilla surft, ist nicht automatisch sicher vor Gefahren aus dem Web.

Es ist höchste Zeit, sich von einem gefährlichen Vorurteil zu verabschieden: Wer mit Mozilla surft, ist nicht automatisch sicher vor Gefahren aus dem Web.

Sicherheitsexperten - unter anderen die des US-CERTs - empfehlen immer öfter den Umstieg vom Internet Explorer auf einen Alternativ-Browser wie Mozilla. Durch den Browser-Wechsel entledigt man sich einer ganzen Reihe von Risiken. So nutzen immer mehr Web-Seiten gezielt Schwachstellen des Microsoft-Browsers, um Dialer oder Trojaner auf den Systemen der Anwender zu installieren; zum Teil geschieht das sogar völlig unbemerkt und ohne Zutun des Anwenders (siehe Browsercheck [1]).

Der weit verbreitete Schluss, Mozilla sei ein sicherer Browser und dessen Nutzer wären somit automatisch vor allen Gefahren im Web geschützt, ist jedoch genauso falsch wie gefährlich. Falsch deshalb, weil auch Mozilla Defizite im Bereich Sicherheit aufweist; gefährlich, weil das trügerische Gefühl von Sicherheit Anwender veranlasst, beim Surfen leichtsinnig zu werden. Uns sind bereits mehrere Fälle bekannt, in denen Mozilla-Nutzer ihren Rechner durch einen voreiligen Mausklick mit Trojanern und Dialern infiziert haben.

Tatsächlich ist es so, dass Mozilla in bestimmten sicherheitsrelevanten Bereichen sogar hinter dem Internet Explorer zurückbleibt. Speziell die Mechanismen für Browser-Erweiterungen sind praktisch nicht gegen böswillige Aktivitäten Dritter gesichert. Bisher relativierte die Dominanz des Microsoft-Browsers die davon ausgehenden Gefahren für Mozilla-Nutzer: Angreifer machten sich nicht die Mühe, solche Schwachstellen gezielt auszunutzen. Doch mit der steigenden Beliebtheit des Open-Source-Projekts wächst der Anreiz und damit auch die Bedeutung solcher Defizite.

Moderne Browser lassen sich durch externe Module um zusätzliche Funktionen erweitern. Der Internet Explorer integriert Erweiterungen vor allem via ActiveX - auf Wunsch lädt er sie auch gleich selbst aus dem Netz. Mozilla hat eigene Schnittstellen für Browser-Plugins; Erweiterungen für zusätzliche Browser-Funktionen lassen sich als sogenannte XPI-Dateien ebenfalls automatisch installieren. Doch während das für seine Sicherheitsprobleme berüchtigte ActiveX gewisse Schutzmechanismen aufweist, sind Mozilla-Erweiterungen offen wie ein Scheunentor.

Seriöse ActiveX-Controls tragen eine digitale Unterschrift ihres Herstellers, unsignierte Controls lädt der Internet Explorer per Default erst gar nicht. So kann der Anwender recht sicher sein, dass ein ihm angebotenes Flash-Plugin tatsächlich von Macromedia stammt. Vertraut er dieser Firma (und dem Aussteller des Zertifikats), weiss er, dass er sich damit zumindest keine bösartigen Trojaner einhandelt. Des weiteren ist bei einem signierten ActiveX-Control der Autor feststellbar, was zumindest auf Script-Kiddies einen gewissen Abschreckungseffekt hat.

Anders bei Mozilla-Plugins. Natürlich hinkt ein Vergleich zwischen ActiveX und Mozillas Plugin-Schnittstelle ein wenig, schon weil ActiveX weitaus mächtiger und tiefer in Windows verankert ist. Doch auch Mozillas Erweiterungen sind eigentlich kleine Programme, die auf dem Rechner alles tun können, was der Anwender darf: andere Programme nachinstallieren, Dateien löschen und so weiter.

Trotzdem bietet Mozilla so gut wie keinen Schutz vor bösartigen Erweiterungen. Jeder kann einen Trojaner so in eine XPI-Datei verpacken, dass Mozilla ihn automatisch installiert und startet. Der Anwender erhält lediglich einen Hinweis, dass mit der Installation Gefahren verbunden sind - doch der Default steht auf "Installieren". Und nachdem diese Warnung bei allen XPIs erscheint, sind viele Mozilla-Anwender bereits darauf trainiert, sie routinemäßig wegzuklicken. Und damit nimmt unter Umständen das Unheil schon seinen Lauf.

In letzter Zeit tauchen vermehrt Web-Seiten auf, die die Browser-Kennung ermitteln und danach speziell darauf zugeschnittene Schadfunktionen aufrufen. Mozilla-kompatiblen Browsern bietet eine dieser Seiten ein XPI mit einem Trojanischen Pferd an; Mac- und Linux-Anwender bekommen noch den "freundlichen" Hinweis, dass die Erweiterung nur auf Win32-Systemen lauffähig sei. Doch auch das wird sich ändern.

Hier muss Mozilla schleunigst verbessert werden - auch die Entwickler haben das erkannt. Die Version 1.7 soll eine Whitelist für Server enthalten, die solche XPIs nachinstallieren dürfen; Plugins von unbekannten Sites akzeptiert der Browser dann nicht mehr. Allerdings soll der Mechanismus in der finalen Version standardmäßig deaktiviert sein, Firefox 0.9 kommt noch ohne Whitelist. Unterstützung für digital signierte Plugins ist ebenfalls in Arbeit: das rote "Unsigned" im Installationsdialog zeugt bereits davon.

Doch auch mit diesen Funktionen kann der Wechsel des Browsers die wichtigste Sicherheitsmaßnahme nicht ersetzen: gesundes Mißtrauen gegenüber allem, was aus dem Netz kommt. Wer auf alles klickt, was ihm irgendwo unterkommt, wird sich früher oder später einen Schädling einhandeln - egal welchen Browser oder welches Betriebssystem er nutzt.

Jürgen Schmidt, ju [2]

Update: Auf dem Browsercheck gibt es jetzt eine Demonstration zur Installation von Erweiterungen [3], die das Problem illustriert. (ju [4])

URL dieses Artikels:
https://www.heise.de/-270504

Links in diesem Artikel:
[1] http://www.heise.de/security/dienste/browsercheck/demos/ie/
[2] mailto:ju@heisec.de
[3] http://www.heise.de/security/dienste/browsercheck/demos/nc/xpi-demo.shtml
[4] mailto:ju@ct.de

Copyright © 2004 Heise Medien