Webseiten können Windows-Zwischenablage auslesen

Anwender des Internet Explorer sollten vor dem Surfen den Inhalt der Windows-Zwischenablage löschen. Andernfalls können präparierte Webseiten unter Umständen vertrauliche Daten auslesen, die der Anwender zuvor in die Ablage kopiert hat. So bietet etwa die aktuelle Version 9.0 der Verschlüsselungs-Suite PGP Funktionen, um Daten in der Zwischenablage zu ver- und entschlüsseln, zu signieren sowie zu prüfen. Ist währenddessen eine Seite in Microsofts Browser geöffnet, kann diese ohne Warnung oder Nachfrage auf die Daten zugreifen.

Auch zahlreiche Passwort-Manager verwenden die Zwischenablage, damit der Anwender auf einfache Weise seine Anmeldedaten in die Login-Felder einfügen kann. Lockt ein Angreifer sein Opfer etwa per Link in einer Mail anschließend auf seine Seite, kann er das Passwort auslesen. Zu welcher Seite es passt, sieht er am Referrer, also an den Browserdaten, von welcher Seite sein Opfer kommt.

Die Lücke im Browser aus Redmond ist eigentlich nicht neu. Bereits seit dem Internet Explorer 4 ist die Interaktion mit dem Clipboard möglich, aber erst seit Version 5 standardmäßig erlaubt. Für Microsoft ist die Funktion ein Feature und kein Bug. Sie lässt sich mit wenigen Zeilen JavaScript ausnutzen. Auf den c't-Browsercheck-Seiten können Anwender mit der Demo "Auslesen der Zwischenablage" prüfen, ob auch ihr Clipboard ausgelesen werden kann.

Um sich des Problems zu entledigen, sollten Anwender in den Sicherheitseinstellungen der Internet-Zone die Option "Einfügeoperationen über ein Skript zulassen" deaktivieren oder auf "Eingabeaufforderung" setzen. (dab)