Ungepatchter Fehler im Internet Explorer ermöglicht Datenspionage

Gängige Sicherheitsmechanismen zum Schutz gegen schnüffelnden JavaScript-Code lassen sich durch den Stylesheet-Import umgehen.

In Pocket speichern vorlesen Druckansicht 517 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Christiane Rütten

Der Internet Explorer von Microsoft macht beim Import von kaskadierenden Stylesheets (CSS) einen kritischen Fehler. Wie aus dem Advisory des Entdeckers Matan Gillon hervor geht, lässt sich dieser ausnutzen, um unter Umständen vertrauliche Nutzerdaten, wie Kredikartennummern, Passwörter oder Zugangsdaten für Online-Dienste auszuspionieren.

Als Proof-Of-Concept liefert Matan Gillon, der diese Methode in Anlehnung an bekannte Cross-Site-Scripting-Angriffe als CSSXSS bezeichnet, eine HTML-Seite, die Informationen einer installierten Google-Desktop-Suche ausliest. Ein boshaften Angreifer könnte diese Informationen beispielsweise durch geeignete HTTP-Anfragen zu einem anderen Rechner im Internet schicken lassen.

Externe Stylesheet-Quellen lassen sich durch @import oder durch die Javascript-Funktion addImport einbinden. Die sonst üblichen Restriktionen für die so genannte Cross-Domain-Interaktion, die ein direktes Auslesen verhindern würden, sind dabei zur Vermeidung von Komplikationen gelockert. Die empfangenen Daten brauchen dann lediglich ein zusammengehöriges Paar aus geschweiften Klammern zu enthalten, damit der IE diese als CSS-Daten interpretiert. Selbst wenn die interpretierten Daten im CSS-Kontext keinen Sinn ergeben, lassen sie sich teilweise durch das DOM-Objekt cssText vom Javascript-Code auslesen und verwerten.

Benutzer des Internet Explorer sollten besondere Vorsicht beim Besuch von nicht vertrauenswürdigen Seiten walten lassen und im Zweifelsfall JavaScript deaktivieren, bis ein Patch für diese Sicherheitslücke verfügbar ist. Nach Angaben von Gillon sind Firefox und Opera für diese Lücke nicht anfällig, da sie mit härteren Restriktionen arbeiten beziehungsweise die notwendigen Funktionen nicht unterstützen.

Siehe dazu auch: (cr)