Neues Phishing-Problem in vielen Browsern

Wie The Shmoo Group heute mitteilte, weist die Implementierung der International Domain Names (IDN) einen Fehler auf, die Angreifer für eine Phishing-Attacke nutzen können. Betroffen sind von dem Problem ALLE Browser, die Umlaut-Domains verarbeiten können. Einzige Ausnahme : der IE, der in seiner aktuellsten Version für XP trotz SP 2 noch immer keine Umlaut-Domains versteht, vorausgesetzt man hat das Verisigns Plug-In nicht installiert.

Alle Browser-Hersteller wurden vor Wochen schon über das Problem informiert, aber bislang hat nur das Mozilla-Team eine langfristige Lösung angekündigt.

Firefox- und Mozilla-User können sich im Übrigen auch jetzt schon behelfen, in dem Sie in der Konfigurationsdatei den Eintrag „network.enableIDN“ auf „false“ setzen. Dazu muss man nur in die Adresszeile about:config eingeben, schon hat man eine, zwar sehr spartanische aber effektive Möglichkeit, sein Konfigurationsdatei zu editieren.

Update
Wie ich eben gerade lesen musste, ist diese Problem schon im RFC 3451 erähnt worden. Mitte 2002 wiesen zudem zwei israelische Studenten auf dieses Problem hin und demonstrierten es anhand von Microsoft-Domains.

via www.golem.de