Noch mehr Sicherheitslöcher im Internet Explorer

Im Internet Explorer 6 ist eine Sicherheitslücke wieder aufgetaucht, die in ähnlicher Weise schon einmal 1998 gestopft wurde. Böswillige Webseiten können beliebigen Scripting- und HTML-Code in andere Browserfenster einschleusen.

In Pocket speichern vorlesen Druckansicht 654 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

Im Internet Explorer 6 ist eine Sicherheitslücke wieder aufgetaucht, die in ähnlicher Weise schon 1998 in den Versionen 3.x und 4.x entdeckt und mit Sicherheits-Updates behoben wurde. Damit konnte eine Webseite auf die Frames in bereits geöffneten Browserfenstern zugreifen und Code einschleusen oder Inhalte auslesen. Normalerweise soll das Sicherheitskonzept des Internet Explorer solche Cross-Domain-Zugriffe verhindern. Eine Webseite oder ein -Server darf nur auf solche Fenster und Frames zugreifen, die im gleichen Domain-Kontext stehen: Frames aus untrusted.com sollten keine Inhalte von Frames aus trusted.com lesen oder in diese Frames schreiben dürfen.

Nichtsdestotrotz funktioniert der Angriff nun aber wieder. Der auf diversen Sicherheitsmailing-Listen bekannte Sicherheitsspezialist mit dem Pseudonym http-equiv hat auf seinen Webseiten eine Demonstration der Lücke programmiert, die zunächst auf windowsupdate.com führt. In dem Browserframe erscheint kurz danach dann eingeschleuster HTML-Code. Laut Meldung ist ein vollgepatchter Internet Explorer unter Windows XP, wahrscheinlich sogar mit SP2 RC1, verwundbar. Ein Patch oder Workaround gibt es nicht. heise Security empfiehlt Anwendern, einen anderen Browser zu benutzen.

Die Forderungen nach dem Einsatz alternativer Browser werden nach den letzten Sicherheitslücken im Internet Explorer immer lauter. Auch das FBI ermittelte schon gegen Angreifer, die solche Löcher zum Installieren von Trojanern ausnutzen. Sogar offizielle Stellen wie das US-CERT legen Anwendern nahe, auf andere Browser auszuweichen. Davon profitieren natürlich Mozilla und Opera, die zukünftig deutlich an Boden gewinnen könnten. Derzeit hat Mozilla einen Marktanteil von 3,5 Prozent und Opera von 0,5 Prozent. Allerdings sind auch in Opera in der Vergangenheit diverse Sicherheitslücken entdeckt worden. Mozilla ist zwar in den letzen Monaten von kritischen Sicherheitslücken verschont geblieben, aber auch hier kann allzu sorgloser Umgang etwa mit Browser-Plug-ins das System gefährden. Mittlerweile haben die Enwickler Vorsorgemaßnahmen in die neueste Version eingebaut; auch soll das neue gemeinsame Plug-in-Interface, das gemeinsam mit Opera, Apple, Sun und Macromedia entwickelt wurde, auch Sicherheit für die Anwender gewährleisten.

Siehe dazu auch: (dab)