Mozilla Foundation reagiert auf angebliche Schwachstelle

Die nächsten Versionen des Browsers Firefox und der Internet-Suite Mozilla werden den Standard IDN (Internationalized Domain Name) nicht mehr unterstützen. Das teilte die Mozilla Foundation mit, die diese Open-Source-Projekte koordiniert.

IDN ist eine Spezifikation der IETF (Internet Engineering Task Force). Diese erlaubt es, Domains im Unicode-Format zu registrieren. Die Unicode-Domains werden dann nach bestimmten Regeln im ASCII-Format des DNS (Domain Name System) angezeigt. So kann man etwa die Domain ‘www.aaä.de’ registrieren, angezeigt wird jedoch ‘www.xn--aa-wia.de’.

Phisher hatten IDN ausgenutzt, um Anwender gefälschte Sites zu locken. Sie nutzen Unicode-Domains, um eine vertraute Site vorzugaukeln. Von dem Angriff waren nur Browser wie Firefox, Mozilla und Safari betroffen, da nur sie den IDN-Standard unterstützen. Microsoft hat den Standard bislang ignoriert, der Internet Explorer ist nicht IDN-fähig.

“Die Schwachstelle war schon bekannt, als IDN verabschiedet wurde”, hieß es von Gervase Markham, Entwickler der Mozilla Foundation. Jetzt müssten vor allem die Registrare das Problem lösen. Als Sofortmaßnahme werden Firefox 1.0.1, Mozilla 1.7.6 und Mozilla 1.8 Beta ohne IDN-Unterstützung ausgeliefert. Diese Software soll in ein bis zwei Wochen verfügbar sein.