Neue Phishing-Lücke im Internet Explorer 7
Michal Zalewski hat eine Schwachstelle im Internet Explorer 7 entdeckt, die Phishern die Arbeit erleichtert und sogar die üblichen Ratschläge ad absurdum führt, URLs immer manuell einzugeben.
- Daniel Bachfeld
Michal Zalewski hat eine Schwachstelle im Internet Explorer 7 entdeckt, die Phishern die Arbeit erleichtert und sogar die üblichen Ratschläge ad absurdum führt, URLs immer manuell einzugeben. Schon kurz nach Verfügbarkeit des Internet Explorer 7 im Oktober 2006 wurde ein Fehler bekannt, mit dem sich die Adressleiste von Fenstern falsch anzeigen ließ.
Die Ursache der neuen Schwachstelle liegt unter anderem in der Verarbeitung so genannter onunload-Ereignisse durch JavaScript. Damit kann eine Seite beispielsweise das Laden einer neuen Seite verhindern, in der Adresszeile erscheint aber dennoch die URL der neuen Seite – sofern man die Adresse manuell eingibt. Ein Anwender könnte denken, er wäre auf der richtigen Seite. Zalewski hat eine Demo zur Verfügung gestellt, in der man den Fehler testen kann.
Zwar muss ein Opfer für einen erfolgreichen Angriff immer noch ein bösartige Seite besuchen, anschließend kann es den Aufrufen weiterer Seiten aber nicht mehr unbedingt trauen. Ruft man eine Seite hingegen per Bookmark auf, so sieht man weiterhin die Adresse der manipulierten Seite.
Secunia will die Lücke schon am 5. Januar entdeckt und Microsoft gemeldet haben. Eigentlich wollte man mit der Veröffentlichung eines eigenen Fehlerberichtes bis zu einer abschließenden Beurteilung durch Microsoft warten. Aufgrund Zalewkis Meldung gebe man Informationen nun doch schon heraus. Betroffen ist der Internet Explorer 7 und Windows XP und Vista.
Firefox ist von diesem Problem zwar nicht betroffen, während seiner Tests fand Zalewski aber einen anderen Fehler im Browser der Mozilla-Foundation bei der Verarbeitung von onunload-Events, der zum Absturz führt. Eine Demo zeigt das Problem. Aufgrund der Art des Fehlers schließt Zalewski nicht aus, dass sich darüber auch Code einschleusen und ausführen lässt. Sowohl beim Firefox als auch beim Internet Explorer hilft vorerst nur das Abschalten von JavaScript, um sich zu schützen
Siehe dazu auch:
- MSIE7 browser entrapment vulnerability (probably Firefox, too), Fehlerbericht von Michal Zalewski
- Internet Explorer 7 "onunload" Event Spoofing Vulnerability, Fehlerbericht von Secunia
- Firefox onUnload + document.write() memory corruption vulnerability (MSIE7 null ptr), Fehlerbericht von Michal Zalewski
(dab)
