Passwort-Klau durch Lücke im Internet Explorer

Auf den Mailinglisten Full Disclosure und Bugtraq wurden mehrere Vorfälle gemeldet, die über Angriffe von Webseiten gegen Anwender berichten. Durch eine ungepatchte Sicherheitslücke im Internet Exporer kann ein Angreifer mit manipulierten HTML-Dokumenten beliebige ausführbare Dateien (.exe, .vbs) auf den PC des Anwenders laden und ausführen. Dazu reicht es bereits aus, die manipulierte Webseite im Internet Explorer anzusehen (siehe dazu auch: Internet Explorer lädt und startet beliebige Programme).

In einigen Fällen sollen AOL-Benutzer mit fingierten Mails auf eine Webseite gelockt worden sein, die anschließend ein VB-Skript auf dem PC installierte und startete, um Benutzername, Passwort und Buddyliste des AOL Instant Messengers auszuspähen. Auf den Webseiten von Spammern finden sich ebenfalls derartige Exploits, um PCs anzugreifen. Auf dem Rechner des Anwenders wird der Windows Media Player überschrieben oder unter C:\ finden sich Dateien wie "1.exe" und "2.exe". Ersten Hinweisen zufolge gibt es bereits 0190-Dialer, die sich auf diese Weise im PC einnisten können.

Der Code zum Programmieren solcher Exploits ist frei im Internet verfügbar. Daher ist damit zu rechnen, das demnächst eine große Zahl von Webseiten im Internet präsent sein werden, die versuchen, diese Sicherheitslücke im Internet Explorer auszunutzen. Anwender sollten sich genau darüber im Klaren sein, welche Webseiten sie besuchen. Da im Moment kein Patch verfügbar ist, hilft das Abschalten von Active Scripting und ActiveX. Allerdings nur beim IE in der Version 6, bei älteren Versionen funktioniert der Angriff dennoch. Personal Firewalls und Antivirenprogramme können den Angriff zwar erkennen und unterbinden, dies ist jedoch kein hundertprozentiger Schutz, da die Exploits sehr stark variieren.

Siehe dazu auch:

• Demonstration des Sicherheitslochs im Browsercheck auf heise Security