Google sichert Desktop-Suche gegen aktuelle IE-Lücke

Die Desktop-Suche diente einem Proof-Of-Concept-Exploit als Demonstration des Gefahrenpotenzials der Lücke im Stylesheet-Import des Internet Explorers.

In Pocket speichern vorlesen Druckansicht 50 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Christiane Rütten

Google hat den Online-Teil seiner Desktop-Suche derart verändert, dass sie sich nicht mehr für einen Proof-Of-Concept-Exploit zur vergangenen Woche gemeldeten Lücke im Stylesheet-Parser des Internet Explorers nutzen lässt. Der Entdecker Matan Gillon demonstrierte am Beispiel der Desktop-Suche, wie sich durch die Sicherheitslücke vertrauliche Informationen gewinnen lassen.

Das eigentliche Problem im CSS-Parser des Internet Explorers bleibt hingegen vorerst ungepatcht. Dieses ermöglicht schadhaftem JavaScript-Code unerlaubte Inter-Domain-Zugriffe. Von den so gewonnenen Daten lassen sich allerdings nur die Teile auswerten, die eine CSS-Struktur mit geschweiften Klammern aufweisen. Diese lassen sich jedoch häufig über die URL-Parameter dynamischer Webseiten an geeigneten Stellen einschleusen.

Siehe dazu auch: (cr)