imported>YMS: Sprache

2025-11-22T12:57:05Z

Sprache

Neue Seite

'''Cross-Zone-Scripting''' ist ein [[Webbrowser]]-Exploit, der die Zonenaufteilung des Browsers ausnutzt. Der Angriff erlaubt es [[Webseiten]], beliebigen [[Code]] innerhalb einer [[privileg]]ierten Zone auszuführen.

== Hintergrund ==
Bei einem Cross-Zone-Scripting-[[Computersicherheit|Angriff]] handelt es sich um einen Berechtigungsangriff, der gezielt auf das zonenbasierte Sicherheitsmodell von Webbrowsern abzielt.
In einem zonenbasierten Modell gehören Seiten zu einer Gruppe von Zonen, die der Berechtigungsstufe entsprechen, die dieser Seite zugewiesen wurde. Seiten in einer nicht vertrauenswürdigen Zone hätten einen geringeren Zugriff auf das System und/oder wären in den Arten von ausführbaren Inhalten, die sie aufrufen durften, eingeschränkt.<ref name="capec">{{Internetquelle |url=https://capec.mitre.org/data/definitions/104.html |werk=mitre.org |titel=CAPEC-104: Cross Zone Scripting |datum= |sprache=en |abruf=2019-05-21}}</ref>

Bei einem zonenübergreifenden Scripting-Angriff erhält eine Seite, die einer weniger privilegierten Zone zugeordnet wurde, die Berechtigungen einer vertrauenswürdigeren Zone. Dies kann durch die Ausnutzung von Fehlern im Browser, die Ausnutzung falscher Konfigurationen in den Zonensteuerungen oder durch einen [[Cross-Site-Scripting]]-Angriff erreicht werden, bei dem der Inhalt der Angreifer so behandelt wird, als käme er von einer vertrauenswürdigeren Seite.

Dieser Angriff unterscheidet sich von „Restful Privilege Escalation“ dadurch, dass letzteres mit der unzureichenden Sicherung von [[Representational State Transfer|RESTful]]-Zugriffsmethoden (z. B. HTTP DELETE) auf dem [[Server]] korreliert, während Cross-Zonen-Skripting das Konzept der Sicherheitszonen angreift, wie es von einem Browser implementiert wird.

== Auswirkung ==
Durch eine Cross-Zone-Scripting-Lücke ist ein Angreifer in der Lage, ein Opfer dazu zu bringen, Inhalte in seinem Webbrowser auszuführen, die die Sicherheitszonensteuerungen des Browsers umgeht, um Zugriff auf höhere Berechtigungszonen zu erlangen. Das würde den Angreifer dazu befähigen, Skripte, Applets oder andere Webobjekte auszuführen.<ref name="capec" />

== Ursprung ==
Das Konzept von Sicherheitszonen wurde erstmals im [[Internet Explorer]] 4 eingeführt. Ein Cross-Zone-Scripting ist jedoch ein allgemeines Problem, das nicht Internet-Explorer-spezifisch ist, da einige andere Browser auch das Konzept von Zonen implementieren.<ref name="microsoft zones">{{Webarchiv |url=http://support.microsoft.com/default.aspx?scid=KB;EN-US;Q174360 |text=''How to use security zones in Internet Explorer'' |wayback=20110604141230}} In: ''support.microsoft.com'' (englisch)</ref>

Für den Internet Explorer sind folgende Zonen bekannt:
=== Internet ===
Dabei handelt es sich um die Standardzone, hierzu gehört alles, was nicht zu anderen Zonen gehört.

=== Local intranet ===
Standardmäßig enthält die lokale Intranetzone alle Netzwerkverbindungen, die über einen [[Universal Naming Convention|UNC]]-Pfad hergestellt wurden, und Websites, die den [[Proxy (Rechnernetz)|Proxy]]-Server umgehen oder Namen ohne Punkt (z. B. <code><nowiki>http://local</nowiki></code>) haben, sofern sie weder der Zone Restricted Sites noch der Zone Trusted Sites zugeordnet sind.<ref name="microsoft zones" />

=== Trusted sites ===
Diese Zone wird normalerweise verwendet, um vertrauenswürdige Websites aufzulisten, die mit minimalen Sicherheitsberechtigungen ausgeführt werden dürfen (z. B. unsichere und unsignierte [[ActiveX]]-Objekte ausführen).<ref name="microsoft zones" />

=== Restricted sites ===
Diese Zone enthält Websites, denen nicht vertraut wird. Wenn eine Website zu dieser Zone hinzufügt wurde, bedeutet das, dass [[Datei]]en, die ein Besucher von der Website herunterlädt oder ausführt, vermutlich seinen [[Computer]] oder seine Daten beschädigen können. Standardmäßig gibt es keine Websites, die dieser Zone zugeordnet sind; die Sicherheitsstufe ist auf Hoch eingestellt.<ref name="microsoft zones" />

Die Zone Eingeschränkte Sites enthält Websites, die sich nicht auf dem Computer oder im lokalen [[Intranet]] befinden oder die nicht bereits einer anderen Zone zugeordnet sind. Die Standardsicherheitsstufe ist Mittel.<ref name="microsoft zones" />

== Beispiele ==
=== Lokale Zone ===
Der [[Exploit]] versucht, Code im Sicherheitskontext der lokalen Computerzone auszuführen.

Das folgende HTML wird verwendet, um einen naiven, jedoch nicht funktionierenden, Versuch der Ausbeutung zu veranschaulichen:
<syntaxhighlight lang="html">
<!DOCTYPE html>
<html>
<img src="codigomalicioso.gif">
<script src="file://C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\codigomalicioso.gif">
</html>
</syntaxhighlight>

In diesem Beispiel versucht der HTML-Code die Datei '''codigomalicioso.gif''' mit Hilfe einer IMG SRC-Referenz in den [[Cache]] zu laden. Dann wird mit einem SCRIPT SRC-Tag versucht, das Skript von der lokalen Computerzone aus auszuführen, indem die lokale Datei im Cache angesprochen wird.<ref name="xss tutorial">{{Internetquelle |url=https://xsser.03c8.net/xsser/XSS_for_fun_and_profit_SCG09_(english).pdf |werk=xsser.03c8.net |titel=XSS_Hacking_tutorial |seiten=52 |datum= |format=PDF |sprache=en |abruf=2019-05-21}}</ref>

=== Trusted zone ===
Das bekannteste Beispiel ist der Internet-Explorer-Bug ''%2f'', der heutzutage allerdings als veraltet gilt:
Diese Schwachstelle ermöglicht es, die Webseite des Angreifers im Domänenkontext des ''virtuellen Shops'' anzuzeigen. Um dies korrekt zu tun, muss das Web des Angreifers so konfiguriert sein, dass er ungültige Werte im HTTP-Header „Host“ akzeptiert.<ref name="xss tutorial" />

<code><nowiki>http://tiendavirtual.com%2F%20%20%20.http://blackbox.psy.net/</nowiki></code>

== Sicherheitslücken ==
In der Vergangenheit wurden immer wieder Cross-Zone-Scripting-Lücken bekannt.

Im Februar 2008 wurde bekannt, dass es eine Cross-Zone-Scripting-Lücke in der [[IP-Telefonie|VoIP]]-Anwendung [[Skype]] gab. Diese Sicherheitslücke befähigte einen Angreifer, einem Opfer beim Einbinden von Videos der Plattformen [[Metacafe]] und [[Dailymotion]] Schadcode unterzuschieben.<ref>{{Internetquelle |url=https://www.heise.de/security/meldung/Sicherheitsupdate-fuer-Skype-176829.html |werk=heise.de |titel=Sicherheitsupdate für Skype |datum=2008-02-07 |abruf=2019-05-21}}</ref>
Skype verwendet [[Internet-Explorer]]-Webkontrollen, um interne und externe [[HTML]]-Seiten darzustellen. Die „Video zum [[Chat]] hinzufügen“ verwendet diese Web-Steuerelemente, die in der lokalen Zone laufen. Benutzer, die in Skype nach dem Video mit den gleichen Schlüsselwörtern wie im Titelfeld gesucht hatten, hatten den Code der Angreifer in seinem Browser mit lokalen Zonenrechten ausführen lassen.<ref name="capec" /><ref>{{Internetquelle |url=https://www.computerworld.com/article/2537072/skype-plugs-critical-cross-zone-scripting-hole.html |werk=computerworld.com |titel=Skype plugs critical cross-zone scripting hole |datum=2008-02-05 |sprache=en |abruf=2019-05-21}}</ref>

Wie im Oktober 2012 bekannt wurde, fanden Sicherheitsforscher von [[IBM]] eine Lücke in einem eingebetteten Browserfenster, das auf mobilen Geräten zum Einsatz kommt. Dieses eingebettete Browserfenster fand unter anderem in der [[Dropbox]]-App und der [[Google Drive|Google-Drive]]-App für [[IOS (Betriebssystem)|iOS]] und [[Android (Betriebssystem)|Android]] Anwendung.<ref>{{Internetquelle |url=https://www.infosecurity-magazine.com/news/cross-zone-scripting-vulnerabilities-found-in/ |werk=infosecurity-magazine.com |titel=Cross-zone scripting vulnerabilities found in Dropbox and Drive |datum=2012-10-22 |sprache=en |abruf=2019-05-21}}</ref>

== Einzelnachweise ==
<references />

[[Kategorie:World Wide Web]]
[[Kategorie:Sicherheitslücke]]

Cross-Zone-Scripting - Versionsgeschichte

imported>YMS: Sprache