Internet Explorer: Datenklau durch zwei Jahre alte Lücke

Eine seit längerem bekannte Lücke im Internet Explorer 8 ermöglicht es Angreifern, durch das Laden von Cascading Style Sheets (CSS) die Same Origin Policy auszutricksen und persönliche Daten ihrer Opfer zu stehlen. Chris Evans aus dem Google-Sicherheitsteam demonstriert dies anschaulich anhand eines Exploits, der es auf Twitter abgesehen hat, aber auf andere Seiten übertragbar ist: Wenn der Besucher der Demo-Seite bei dem Kurznachrichtendienst eingeloggt ist, extrahiert sie sein Authentifizierungs-Token aus einer Twitter-Seite und kann ungehindert in seinem Namen Nachrichten veröffentlichen.

Die Lücke ist bereits seit rund zwei Jahren bekannt und betraf damals alle wichtigen Browser – scheinbar hat von dem japanischsprachigen Bericht jedoch niemand Notiz genommmen. Erst ein Jahr später, nachdem Evans in seinen Blog auf die Gefahr aufmerksam gemacht hat, haben die Browserhersteller reagiert und ihre Produkte nach und nach abgesichert. Nachdem im Juli zuletzt Mozilla reagiert hat, ist nur noch der Internet Explorer in aktueller Version (und wohl auch älter) auf diese Weise verwundbar. Da der Angriff prinzipiell kein JavaScript erfordert, gibt es für Nutzer des Internet Explorers derzeit keinen wirksamen Schutz.

Prinzipiell können sich Angreifer durch die Lücke auf allen Seiten bedienen, die es Nutzern erlauben, eigenen Text unterzubringen. Bei dem Twitter-Beispiel genügt etwa ein Tweet mit dem Inhalt {}body{font-family:" – importiert der Angreifer auf seiner Seite den Twitter-Feed als CSS-Datei, kann er aufgrund des fehlertoleranten Parsing des IE Teile des Quelltexts als CSS-Eigenschaft "font-family" auslesen. Zusammen mit drei Studenten der Carnegie Mellon University hat Evans ein ausführliches Paper über die sogenannten Cross-Origin CSS-Angriffe veröffentlicht. (rei)