Der Sicherheitsforscher Manuel Caballero hat eine Zero-Day-Lücke in Internet Explorer öffentlich gemacht. Sie erlaubt es der aktuell besuchten Website, alle Eingaben in die Adressleiste des Browser auszuspähen. Microsoft ist das Problem inzwischen bekannt.
Die Schwachstelle kann durch jede Website ausgenutzt werden, die in Internet Explorer geöffnet ist. Da jegliche Eingaben in die Adressleiste betroffen sind, kann eine Website also nicht nur erfahren, welche URL ein Nutzer als nächstes aufruft, sondern auch mögliche Suchbegriffe – die Adressleiste des Internet Explorer lässt sich wie bei anderen Browsern auch als Eingabefeld für die voreingestellte Suchmaschine nutzen.
Die Eingaben werden allerdings erst nach Betätigen der Enter-Taste übertragen. Caballero zufolge lassen sich die Eingaben mithilfe eines HTML/Object-Tag auslesen. Nutzer des Internet Explorers können den Bug auf einer von Caballero erstellten Test-Website nachvollziehen. In anderen Browsern wie Edge, Firefox und Chrome funktioniert der Proof-of-Concept indes nicht – Nutzer landen wie gewünscht bei der eingegebenen URL oder ihren Suchresultaten.
Anfällig ist dem Forscher zufolge die aktuelle Version von Internet Explorer 11. Frühere Versionen des Microsoft-Browsers könnten jedoch ebenfalls unsicher sein. Ein Test von ZDNet mit IE 8 unter Windows XP war nicht erfolgreich, da der Browser die Testseite nicht anzeigen konnte.
Gegenüber Ars Technica bestätigte Caballero zudem, dass Websites die Eingaben auch unbemerkt im Hintergrund auslesen können. Die Testwebsite unterbreche die Ausführung der Eingabe bewusst, um zu zeigen, dass die Daten abgefangen wurden.
Dem Blog liegt zudem eine Stellungnahme von Microsoft vor. Demnach untersucht das Unternehmen das Problem. Ein Fix soll im Rahmen eines kommenden Patchdays verteilt werden. Der nächste Termin für die Veröffentlichung von Sicherheitsupdates ist der 10. Oktober.
Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Wie ECM-Systeme CAD-Prozesse verbessern können, was eine gute ECM-Lösung beim Planmanagement auszeichnet und warum sich nscale CAD als spezialisierte Lösung für das Planmanagement anbietet, erklärt dieses Whitepaper.
OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…