Lücke in Internet Explorer 8 gibt Zugriff auf Log-in-Daten

Microsofts Security Response Team hat per Twitter angekündigt, es werde ein Sicherheitslücke im Internet Explorer untersuchen. Wie The Register berichtet, hat der Sicherheitsforscher und Google-Mitarbeiter Chris Evans Details zu der Schwachstelle über die Mailing-Liste Full Disclosure veröffentlicht. Sie ermögliche es Angreifern, Log-in-Daten von laufenden Verbindungen zu stehlen.

„Im Internet Explorer 8 steckt eine üble Anfälligkeit“, schreibt Evans. Es sei ihm nicht gelungen, Microsoft davon zu überzeugen, einen Patch für die Schwachstelle zu entwickeln. Der Fehler ermögliche es, über eine manipulierte Website beispielsweise ein Twitter-Konto zu übernehmen.

Die Codelücke betrifft Evans zufolge möglicherweise auch andere Versionen des Microsoft-Browsers. Scheinbar handle es sich um eine Weiterentwicklung der Lücke, über die er im Dezember 2009 in seinem Blog Scarybeastsecurity berichtet habe. Microsoft sei der Fehler sogar schon seit 2008 bekannt.

Durch die Lücke könne ein Angreifer die Anmeldedaten einer schon authentifizierten Browsersitzung stehlen, schreibt Rik Ferguson, Sicherheitsberater bei Trend Micro, in einem Blogeintrag. „Die Daten können dann missbraucht werden, um beliebige Inhalte zu veröffentlichen.“

Laut Ferguson lässt sich die Schwachstelle einfach für alle Dienste ausnutzen, die, ähnlich wie Twitter, Kurz-URLs verwenden. In den Browsern Opera, Chrome, Firefox und Safari sei der Fehler schon behoben.

Im Juni wurde Google-Mitarbeiter Tavis Ormandy dafür kritisiert, dass er Microsoft nur fünf Tage Zeit gab, bevor er Details zu einer von ihm entdeckten Schwachstelle im Hilfe-Center von Windows XP veröffentlichte. Auch wenn Evans jetzt ebenfalls eine Lücke öffentlich macht, bevor Microsoft sie geschlossen hat, hat er dem Softwarekonzern offensichtlich mehr Zeit zu reagieren gegeben als sein Kollege Ormandy. Zudem scheint der Internet Explorer der einzige der fünf führenden Browser zu sein, der für die Schwachstelle noch anfällig ist.


Microsoft untersucht eine neue Lücke im Internet Explorer 8, die ihm angeblich schon seit 2008 bekannt ist (Screenshot: ZDNet).

ZDNet.de Redaktion

Recent Posts

KI-gestütztes Programmieren bringt IT-Herausforderungen mit sich

OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.

2 Tagen ago

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

5 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

6 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

6 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

6 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

7 Tagen ago