Zero-Day-Lücken in Edge und Internet Explorer – Patches stehen noch aus
Ein Forscher hat Angriffspunkte für Universal-Cross-Site-Scripting-Attacken in Microsofts Browsern gefunden. Der Konzern scheint desinteressiert.
(Bild: pixabay.com / Collage)
Der Sicherheitsforscher James Lee hat je eine Lücke in Microsofts Browsern Internet Explorer und Edge gefunden. Sie könnten entfernten Angreifern unter bestimmten Voraussetzungen das Umgehen eines Sicherheitsmechanismus und infolgedessen den Diebstahl mitunter vertraulicher Informationen ermöglichen. Das Cyber Emergency Response Team des BSI (CERT-Bund) hat die Bedrohung als "hoch" eingestuft. Patches gibt es derzeit nicht – allerdings auch noch keine Berichte über aktive Angriffe
Der gerade 20-jährige Lee erläuterte die Angriffstechnik gegenüber The Hacker News im Detail. Demnach habe er einen Weg gefunden, das Browser-Sicherheitskonzept Same Origin Policy (SOP) auszuhebeln. SOP soll im Normalfall verhindern, dass clientseitig im Kontext einer bestimmten Domain ausgeführte Skriptsprachen oder CSS auf Daten einer zweiten Domain zugreifen. Mittels der Sicherheitslücken sei es jedoch möglich, an SOP vorbei so genanntes Universal Cross Site Scripting (UXSS) durchzuführen. Im Gegensatz zu herkömmlichem Cross Site Scripting ist UXSS nicht von Lücken in einzelnen Webseiten oder Webanwendungen abhängig.
Bislang keine Angriffe "in the wild"
Um die Lücken auszunutzen, müsste ein Angreifer laut Lee seine Opfer zunächst auf eine eigens dafür eingerichtete, mit Exploit-Code präparierte Webseite lotsen. Der Code könnte über die Lücken dann im Browser gespeicherte Daten – etwa aktive Login-Sessions von Webdiensten oder Cookies von zuvor besuchten Webseiten – stehlen. Das Gelingen eines solchen Angriffs hängt also vom (unbewussten) Mitwirken des Opfers ab – und die Relevanz der dabei erzielten "Ausbeute" von einer cleveren Phishing-Strategie oder purem Zufall.
Lee hat die Lücken im Zuge zweier Proofs-of-Concept für Internet Explorer und Edge vergangene Woche öffentlich dokumentiert. Gegenüber The Hacker News gab er an, Microsoft schon vor 10 Monaten informiert zu haben. Der Konzern habe jedoch nicht reagiert, so dass sich der Forscher schließlich zur Veröffentlichung entschieden habe. CVE-Nummern liegen noch nicht vor.
Bislang ist noch kein Fall bekannt, in dem die Lücken tatsächlich durch Angreifer ausgenutzt wurden. Da Microsoft keine Updates veröffentlicht hat, bleibt Nutzern (außer dem wohl etwas übertriebenen Meiden beider Browser) vorerst ein gesundes Misstrauen und der verantwortungsvolle, kritische Umgang mit Web-Inhalten als bester Schutzmechanismus. (ovw)
