Neue Phishing-Lücke im Internet Explorer [Update]
Die Sicherheitsspezialisten von Greyhat weisen auf eine Schwachstelle im Internet Explorer hin. Mit einem ActiveX-Control lässt sich beliebiger HTML- und JavaScript-Code in eine Web-Seite einschleusen.
Die Sicherheitsspezialisten von Greyhat haben ein Advisory veröffentlicht, das auf eine Schwachstelle im Internet Explorer hinweist. Durch einen Fehler im ActiveX-Control DHTML Edit (dhtmled.ocx) lässt sich beliebiger HTML- und JavaScript-Code in eine dargestellte Web-Seite einschleusen. Das Control ist als "Safe for Scripting" markiert, sodass es sich via JavaScript fernsteuern lässt. Insbesondere ist es möglich via execScript() Skript-Code in andere Seiten einzuschleusen.
In einer Demo auf den Seiten von Greyhat lädt das Control die Startseite von Google und schleust JavaScript ein, um das Google-Cookie anzuzeigen. Prinzipiell hätte das Cookie auch an einen Angreifer übermittelt werden können. Ferner ist es möglich, den kompletten Inhalt einer Web-Seite zu überschreiben, ohne dass die angezeigte Adresse sich ändert.
Betrüger können Anwendern mit speziell präparierten Seiten quasi beliebig gefälschte Web-Seiten unterschieben. Ein ähnliches Problem (Phishing mit Fenstern ) meldete heise Security vergangene Woche; dort waren aber auch andere Browser betroffen. Der nun entdeckte Fehler wurde für den Internet Explorer unter XP mit SP1 und SP2 bestätigt. Abhilfe schafft das Deaktivieren von ActiveX in der Internet Zone. Mit einer Demonstration auf dem c't-Browsercheck können Sie testen, wie sich das Problem auswirkt. Sie fälscht eine Microsoft-Seite und liest deren Cookie aus.
Das DHTML-Edit-Control war in der Vergangenheit schon mehrfach für Sicherheitslücken im Internet Explorer verantwortlich. Auch die zuletzt von http-equiv veröffentlichte Demo zum Austricksen des Pop-up-Blockers unter XP mit Service Pack 2 nutzt eine Schwachstelle darin aus.
Siehe dazu auch: (dab)
- Browsercheck-Demo von heise Security
- Security Advisory von Greyhat
