Fire Tabbing – als das Ziehen eines Links zur Sicherheitslücke wurde

Firetabbing - Als das Ziehen eines Links zur Sicherheitslücke wurde

Im Jahr 2005 wurde mit Firetabbing (oder auch als Firedragging / Fireflashing bezeichnet) eine weitere Sicherheitslücke in Firefox bekannt, die heute fast vergessen ist. Sie betraf eine damals neue und beliebte Funktion: das Arbeiten mit Tabs.

Durch eine besondere Kombination aus Drag-and-Drop und JavaScript war es möglich, fremden Code im Kontext einer bereits geöffneten Webseite auszuführen – unter ungünstigen Umständen sogar mit weitreichenden Folgen für das System des Nutzers.

Was war Firetabbing?

Firetabbing war eine Sicherheitslücke in Firefox 1.0 und der Mozilla Suite, bei der ein speziell präparierter Link per Drag-and-Drop auf einen bestehenden Tab gezogen werden konnte.

Normalerweise verhinderte der Sicherheitsmechanismus des Browsers, dass sogenante javascript:-Links aus fremden Webseiten in anderen Kontexten ausgeführt werden. Wurde der Link jedoch auf einen Tab gezogen, griff diese Schutzfunktion nicht.

Der ursprüngliche Bericht von mikx beschrieb es so:

The javascript security manager usually prevents that a javascript: URL from one host is opened in a window displaying content from another host. But when the link is dropped to a tab, the security manager does not kick in.

Normalerweise verhindert der JavaScript-Sicherheitsmechanismus, dass ein solcher Link in einem Fenster mit fremden Inhalten ausgeführt wird. Wird er jedoch auf einen Tab gezogen, greift dieser Schutz nicht.

Wie der Angriff funktionierte

Der Angriff nutzte eine alltägliche Benutzerhandlung:

Viele Nutzer zogen Links per Maus auf bestehende Tabs, um diese „wiederzuverwenden“, statt neue Tabs zu öffnen.

Ein Angreifer musste lediglich:

  1. einen präparierten javascript:– oder data:-Link auf einer Webseite platzieren
  2. den Nutzer dazu bringen, diesen Link auf einen offenen Tab zu ziehen

Der enthaltene Code wurde anschließend im Kontext der Webseite ausgeführt, die bereits in diesem Tab geladen war.

Welche Risiken bestanden?

Der Code lief plötzlich auf einer „fremden“ Webseite

Bei Firetabbing wurde der schädliche Code nicht auf der Seite ausgeführt, auf der der Nutzer den Link gesehen hatte, sondern auf der Webseite, die bereits im Tab geöffnet war. Für den Browser wirkte es so, als gehöre der Code zu dieser eigentlich vertrauenswürdigen Seite.

Der ursprüngliche Bericht aus dieser Zeit fasste das Problem so zusammen:

This can lead to several security problems scaling from stealing session cookies to the ability to run arbitrary code on the client system.

Das konnte von gestohlenen Sitzungsdaten bis hin zur Ausführung beliebiger Programme auf dem Rechner des Nutzers reichen.

Was Angreifer konkret tun konnten

War im betroffenen Tab zum Beispiel ein E-Mail-Postfach, ein Online-Shop oder ein Firmenportal geöffnet, konnten Angreifer:

  • Anmeldedaten und Cookies auslesen
  • laufende Sitzungen übernehmen
  • Formulare manipulieren
  • vertrauliche Informationen abgreifen
Simulierter Screenshot von Firefox 1.0 unter Windows XP: Ein javascript:-Link wird auf einen bestehenden Tab gezogen und im fremden Kontext ausgeführt (Firetabbing, 2005)
So funktionierte Firetabbing: Durch das Ziehen eines manipulierten Links auf einen Tab konnte fremder Code im Kontext einer anderen Webseite ausgeführt werden.

In besonders ungünstigen Fällen – etwa wenn ein interner Firefox-Bereich wie about:config geöffnet war – konnte der eingeschleuste Code sogar deutlich mehr Schaden anrichten und tief in das System eingreifen.

Je nach geöffneter Seite im Ziel-Tab konnten Angreifer:

  • Session-Cookies auslesen
  • Zugangsdaten abgreifen
  • Formulare manipulieren
  • oder Inhalte verändern

Warum das so gefährlich war

Für den Nutzer sah der Vorgang völlig harmlos aus. Das Ziehen eines Links auf einen Tab galt als normale Bedienung. Dass dadurch im Hintergrund fremder Code auf einer ganz anderen Webseite ausgeführt wurde, war nicht erkennbar.

Genau diese Unsichtbarkeit machte Firetabbing so riskant: Ein einziger falscher Mausgriff konnte ausreichen, um vertrauliche Daten preiszugeben oder den eigenen Rechner zu gefährden.

Besonders kritisch wurde es, wenn der Tab interne Firefox-Seiten enthielt, etwa:

  • about:config
  • andere privilegierte Browserbereiche

In diesem Fall konnte der JavaScript-Code sogar beliebigen Code auf dem Rechner des Nutzers ausführen.

Betroffene Systeme

Dokumentiert betroffen waren:

  • Firefox 1.0
  • Mozilla Suite 1.7.5

Behoben wurde die Lücke in:

  • Firefox 1.0.1
  • Mozilla Suite 1.7.6

Warum die Lücke relevant war

Firetabbing zeigte ein grundsätzliches Problem früher Browserarchitekturen: Nicht jede Benutzerinteraktion wurde als sicherheitskritisch betrachtet.

Das bloße Ziehen eines Links auf einen Tab galt lange als harmlose Komfortfunktion. Tatsächlich konnte es aber die gesamte Sicherheitslogik umgehen.

Die Schwachstelle wurde im Januar 2005 gemeldet, Ende Januar bestätigt und Anfang Februar behoben. Kurz darauf erfolgte die öffentliche Dokumentation.

Das CVE-Projekt vergab dafür die Kennung: CAN-2005-0231

Der offizielle Mozilla-Sicherheitshinweis lautete:

Mozilla Foundation Security Advisory 2005-26
Risk: Low – Impact: Critical

Ein ungewöhnlicher, aber treffender Mix: geringe Wahrscheinlichkeit, aber potenziell schwerwiegende Folgen.

Warum Fire Tabbing heute kein Problem mehr ist

Moderne Browser verhindern solche Angriffe durch mehrere Schutzmechanismen:

  • strikte Trennung von Tabs und Prozessen
  • isolierte Ausführungskontexte pro Webseite
  • Einschränkung von javascript:-URLs
  • blockiertes Drag-and-Drop aktiver Inhalte
  • Sandbox-Modelle
  • zusätzliche URL-Validierungen

Selbst wenn heute ein Nutzer einen manipulierten Link auf einen Tab ziehen würde, käme es nicht mehr zur Ausführung im fremden Kontext.

Historische Bedeutung

Fire Tabbing gehört, wie auch Fire Spoofing, zu den frühen Beispielen dafür, dass Benutzeroberflächen selbst Teil der Angriffsfläche sein können. Nicht nur Programmcode, sondern auch scheinbar harmlose Bedienfunktionen wie:

  • Tabs
  • Fenster
  • Drag-and-Drop

mussten später sicherheitsseitig neu gedacht werden.

Viele heutige Schutzkonzepte entstanden aus genau solchen Problemen.

5/5 (1)

Konnten wir mit diesem Beitrag weiterhelfen?

Empfehlungen der Redaktion:
Für alle Entdeckerinnen und Entdecker

WhatsApp - optimal nutzen

Buchtipp: Die neueste Version 2021 erklärt alles Funktionen des Messenger-Dienstes. Jetzt WhatsApp komplett ausreizen.

Google als Startseite

Die am häufigsten genutzte Suchmaschine als Startseite im Browser einrichten und schneller die gesuchten Inhalte finden.

Diese Woche neu bei Tchibo

Tolle neue Sachen in den Themenwelten des Tchibo Online-Shops entdecken und sich oder anderen eine Freude bereiten.

Angebote bei QVC

Der TV-Kanal Nummer 1 in Deutschland ist natürlich auch im World Wide Web. Produkte aus den TV-Shows jetzt online entdecken.

Werbeanzeigen

Daniel

Über den Autor

Daniel Weihmann - Betreiber und Redakteur verschiedener Online-Plattformen wie Browserdoktor.de. Von 2004 bis 2014 als Systemadministrator verantwortlich für mehrere Linux-Server und kommunale Online-Lösungen. Heute: Selbstständiger Webdesigner, SEO und Online-Marketer in Köthen (Anhalt).

Schreibe einen Kommentar

Datenschutz Impressum