Internet Explorer 11 lässt Webseiten Anwender ausspionieren
Sicherheitsexperten haben eine Schwachstelle im Internet Explorer 11 gefunden, über die Angreifer Webseiten so manipulieren können, dass sie den Anwender ausspionieren. Ein Patch lässt noch auf sich warten – andere Web-Browser sind aber nicht anfällig.
Microsofts Internet Explorer 11 weist eine gewichtige Sicherheitslücke auf: Er schottet Webseiten nicht ausreichend gegeneinander ab. Das hat ein Nutzer in einer Security-Mailing-List mitgeteilt. Demzufolge könnten Angreifer Webseiten bauen, die parallel geöffnete Seiten manipulieren, um etwa Nutzerdaten im Zuge des Online-Bankings abzugreifen. Diese Vorgehensweise nennt man Universal Cross-Site-Scripting (UXSS).
Die Sicherheitslücke wurde bisher noch nicht geschlossen; der Entdecker zeigt auf, wie er die Seite dailymail.co.uk mittels HTML Injection manipuliert. Ein Test von heise Security mit dem zu diesem Zeitpunkt aktuellen Internet Explorer 11.0.9600.17501 bestätigte die Schwachstelle. Gemäß dem Test sind die jeweils aktuellen Versionen von Chrome und Firefox nicht betroffen.
Im Vergleich zu herkömmlichen XSS-Angriffen ist die Universal-XSS-Methode besonders perfide, denn in diesem Szenario wird nicht nur eine bestimmte Webseite manipuliert. Infolgedessen können Angreifer Kundendaten von beliebigen parallel geöffneten Seiten, wie etwa E-Mail-Anbietern, Onlinebanking oder Shoppingportalen, abfangen.
Wie ein solcher Angriff mit der XXS-Methode im Detail vonstatten geht, erklärt der Hintergrundartikel "Passwortklau für Dummies". (des)
