Schwachstelle im Internet Explorer 7 hilft Phishern
Der Sicherheitsdienstleister Secunia zeigt in einer Demo, wie sich die URL in der Adressleiste eines Pop-up-Fensters fälschen lässt. Phisher könnten dies für Angriffe ausnutzen
- Daniel Bachfeld
Mit dem Internet Explorer 7 wollte Microsoft Anwender zukünftig besser vor Phishing-Angriffen schützen. Dies scheint nur zum Teil gelungen, wie der Sicherheitsdienstleister Secunia in der Demonstration einer Schwachstelle der jüngsten Browserversion von Microsoft zeigt. So gelingt es Secunia durch einfaches Anhängen bestimmter Zeichen an eine URL, die angezeigte Adresse in der Adressleiste eines Pop-up-Fensters zu fälschen: In der Demo zeigt die Adressleiste www.microsoft.com an, obwohl der Inhalt von Secunia stammt.
Dies ist auch deshalb besonders ernüchternd, weil Microsoft die Ausstattung jedes geöffneten Fensters und Pop-ups mit einer Adresszeile als zusätzliches Sicherheitsmerkmal des Internet Explorer 7 anpreist. Beim Internet Explorer 6 konnte eine Seite weitere Fenster öffnen, ohne dass erkenntlich war, zu welcher Adresse sie gehörte. Immerhin war damit unter Umständen noch das Misstrauen des Anwenders geweckt, was beim Internet Explorer 7 nun nicht mehr unbedingt der Fall ist.
Bereits am Tage der Veröffentlichung der finalen Version des Internet Explorer 7 zeigte Secunia ein Problem im Browser auf, mit dem Angreifer Inhalte geöffneter Fenster ausspähen konnten – ein Problem das Microsoft schon sechs Monate bekannt war. Microsoft meinte dazu in einer Stellungnahme, das Problem sei weder im Internet Explorer 6 noch im Internet Explorer 7 zu suchen, obwohl die Schwachstellendemonstration diese Browser als Angriffsvektor nutze. Schuld sei vielmehr eine Outlook-Express-Komponente in Windows; man untersuche die Angelegenheit noch.
Siehe dazu auch: (dab)
- Internet Explorer 7 Popup Address Bar Spoofing Weakness, Fehlerbericht von Secunia