Spoofing-Lücke im Internet Explorer

Über eine Race Condition können Angreifer in Microsofts Browser mittels präparierter Flash-Dateien beliebige Adressen in die Adress- und Titelzeilen einblenden.

In Pocket speichern vorlesen Druckansicht 95 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Daniel Bachfeld

Eine neue Spoofing-Schwachstelle im Internet Explorer könnte Phishern unter Umständen die Arbeit erleichtern. So berichtet der Sicherheitsspezialist Hai Nam Luke von einer Race Condition in Microsofts Browser, bei der Angreifer über präparierte Flash-Dateien (swf) beliebige Adressen in die Adress- und Titelzeilen einblenden können. Damit ließe sich einem Opfer ein echter Server vorgaukeln. Einzig in der Statusleiste ist die echte Herkunft der Seite zu erkennen. Erfahrungsgemäß schauen dort aber die wenigsten Anwender hin.

Der Sicherheitsdienstleister Secunia stellt eine Demo auf seinen Seiten zur Verfügung, die das Problem verdeutlicht. Die Schwachstelle wurde für den Internet Explorer 6 unter Windows XP mit SP1 und SP2 bestätigt. Andere Versionen könnten aber ebenfalls betroffen sein. Ein Patch ist nicht verfügbar. Abhilfe schafft derzeit nur das Abschalten von Active Scripting.

Die Lücke basiert nach Angaben von Nam Luke auf dem unvollständigen Laden von Inhalten in dasselbe Browserfenster mittels der JavaScript-Funktion window.open(). Dabei wird dann die window.location nicht richtig gesetzt, sodass der neue Inhalt mit falscher URL angezeigt wird.

Eine ähnliche Race Condition gab es vor einiger Zeit in Mozilla. Dabei wurde Skriptcode nicht im Sicherheitskontext der Seite ausgeführt, von der er geladen wurde, sondern im Kontext der vorhergehenden Seite.

Siehe dazu auch: (dab)