Der Sicherheitsforscher David Leo von der Beratungsfirma Deusen hat eine neue Schwachstelle in Internet Explorer 11 entdeckt. In der Mailing-Liste Full Disclosure beschreibt er eine universelle Cross-Site-Scripting-Lücke, die Phishing-Angriffe erlaubt. Ein Angreifer könnte beispielsweise die vollständige Kontrolle über ein Nutzerkonto seines Opfers erhalten. Von ihm veröffentlichter Beispielcode zeigt, wie sich die Anfälligkeit gegen die Website der britischen Zeitung Daily Mail einsetzen lässt.
Der Fehler im Microsoft-Browser erlaubt es demnach, die Sicherheitsfunktion Same-Origin-Policy zu umgehen. In seinem Beispiel öffnet sich nach dem Klick auf einen speziell präparierten Link in Internet Explorer 11 unter Windows 8.1 zwar die Website „dailymail.co.uk“, nach 7 Sekunden wird der Inhalt der Seite allerdings durch eine Seite ersetzt, auf der es heißt: „Von Deusen gehackt.“
Wie Computerworld berichtet, wird die gefälschte Seite von einer externen Domain geladen, während die Adressleiste des Browsers weiterhin die URL „dailymail.co.uk“ anzeigt. Die Schwachstelle könne also benutzt werden, um die Glaubwürdigkeit von Phishing-Websites zu steigern. Zudem könne ein Hacker statt der Website der Daily Mail auch die Seite einer Bank benutzen, um beispielsweise Anmeldedaten fürs Online-Banking abzufragen. Die Umleitung auf die gefälschte Seite könne ein Nutzer in dem Fall nicht an der URL in der Adressleiste erkennen.
Ein Sicherheitsforscher der Yahoo-Tochter Tumblr hat laut Computerworld zudem herausgefunden, dass der Angriff auch dann funktioniert, wenn eine Website sicheres HTTP (HTTPS) verwendet. Bei eigenen Tests sei er zwar auf verschiedene Hindernisse gestoßen, sein Fazit sei aber, dass ein Angriff „ganz bestimmt funktioniert“. „Es werden sogar die Beschränkungen für HTTP zu HTTPS umgangen“, schreibt Joey Fowler in einem Kommentar zu Leos Eintrag auf Full Disclosure.
Die Lücke in der Same-Origin-Policy führt dazu, dass Skriptsprachen wie JavaScript, ActionScript und Cascading Style Sheets (CSS) auf Objekte wie Cookies zugreifen können, die von einer anderen Website stammen. Ein Cookie, das beispielsweise Anmeldedaten enthält, kann benutzt werden, um sich in einem anderen Browser ohne erneute Eingabe von Nutzername und Passwort bei einem Internetdienst anzumelden.
„Uns ist nicht bekannt, dass die Anfälligkeit aktiv ausgenutzt wird, und wir arbeiten an einem Sicherheitsupdate“, zitiert Computerworld aus einer E-Mail eines Microsoft-Sprechers. Der Softwarekonzern rät seinen Nutzern, nicht auf Links aus nicht vertrauenswürdigen Quellen zu klicken und sich stets abzumelden, wenn sie eine Website verlassen.
Websitebetreiber könnten sich hingegen vor Angriffen auf die IE-Lücke schützen, so Computerworld weiter. Fowler und auch Daniel Cid, CTO der Sicherheitsfirma Sucuri, hätten darauf hingewiesen, dass ein Header namens „X-Frame-Options“ mit den Werten „deny“ oder „same-origin“ verhindere, dass Seiten in iFrames geladen werden.
Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Neueste Kommentare
Noch keine Kommentare zu Zero-Day-Lücke in Internet Explorer ermöglicht Phishing-Angriffe
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.