XSS-Filter des IE 8 ist anfällig für Cross-Site-Scripting

Sicherheitsforscher haben auf der Konferenz Black Hat Europe einen Cross-Site-Scripting-Angriff (XSS) auf Microsofts Internet Explorer 8 demonstriert. Dafür nutzten sie eine Lücke im XSS-Filter des Browsers.

Das Problem besteht nahezu bei allen Websites, die es Nutzern ermöglichen, Profile anzulegen. Dazu gehören populäre Sites wie Microsofts Bing.com, Google.com, Wikipedia.org und Twitter.com.

Microsoft hatte den XSS-Filter im vergangenen August eingeführt, um Anwender vor sogenannten Type-1-Angriffen zu schützen. Sie zielen darauf ab, Cookies und Anmeldeinformationen zu stehlen oder Tastatureingaben aufzuzeichnen.

Die Forscher Eduardo Vela Nava und David Lindsay haben nun festgestellt, dass der Filter ausgehende Anfragen nach schädlichen Zeichenfolgen scannt und diese ändert, um einen XSS-Angriff abzuwehren. „Die genaue Methode, die verwendet wird, um die Antwort eines Servers zu ändern, ist für den Erfolg entscheidend. Wird ein Angriff nicht richtig neutralisiert, kann ein schädliches Skript weiterhin ausgeführt werden“, heißt es in einem von den Forschern veröffentlichten Bericht (PDF). Darin beschreiben sie eine Methode, um die geänderten Serverantworten für Cross-Site-Scripting zu missbrauchen.

Microsoft-Sprecher Jerry Bryant erklärte, einen großen Teil des Problems habe Microsoft mit den Updates MS10-002 und MS10-018 bereits gelöst. Den Forschern zufolge stellt der XSS-Filter beim Besuch bestimmter Websites aber weiterhin ein Risiko dar. Sie empfehlen Websitebetreibern, alle von Nutzern erstellte Inhalte zu filtern, bis der Fehler vollständig behoben sei. Anwender wiederum sollten den XSS-Filter des Browsers deaktivieren.