Neuer URL-Spoofing-Trick im Internet Explorer
Im Internet Explorer wurde ein weiterer Fehler entdeckt, mit dem es möglich ist, die in der Statusleiste angezeigte URL zu fälschen; im Service Pack 2 von Windows XP ist das Problem bereits behoben.
Im Internet Explorer wurde ein weiterer Fehler entdeckt, mit dem es möglich ist, die in der Statusleiste angezeigte URL zu fälschen. In dem auf Bugtraq veröffentlichten Beispiel erscheint beim Berühren beziehungsweise Überfahren eines Links mit dem Mauszeiger in der Statuszeile www.microsoft.com. Der Klick darauf führt allerdings zu www.google.com. Der Fehler liegt offenbar in der Verarbeitung von Links, die in Tabellen verschachtelt sind:
<table><tr><td>
<a href="http://www.google.com/">Click here</td></tr></table>
Immerhin erscheint beim tatsächlichen Aufruf der Seite in der Adresszeile die richtige URL. Allerdings kann die Erkenntnis -- die falsche Seite besucht zu haben -- in bestimmten Fällen zu spät kommen, insbesondere dann, wenn die besuchte Webseite so präpariert ist, dass sie ohne Zutun des Anwenders durch weitere Sicherheitslücken Trojaner und dergleichen auf dem Rechner installiert. Derzeit stehen aber für alle so ausnutzbaren und bekannten Schwachstellen im Internet Explorer Patches bereit. Zudem ist der Fehler bei der Anzeige der URL unter Windows XP mit Service Pack 2 beseitigt.
Auf Bugtraq diskutiert man derweilen auch darüber, ob es sich um ein Feature handelt oder einen Fehler. Das Sicherheitsportal SecurityTracker zitiert zudem den Sicherheitsspezialisten Thor Larholm von PivX Solutions. Ihmzufolge sei die Möglichkeit, die Statuszeile zu manipulieren, eine Funktion, die viele Browser bieten würden. Diese können über die window.status-Eigenschaften definiert werden.
Siehe dazu auch: (dab)
- Security Advisory von Benjamin Franz
