Phishing-Schwachstelle im Internet Explorer 7 [Update]

Eine Kombination zweier Schwachstellen im Internet Explorer 7 vereinfacht einmal mehr Phishern die Arbeit. Der israelische Sicherheitsspezialist Aviv Raff hat dazu eine Online-Demo zur Verfügung gestellt, die sich die Eigenart des Browser zunutze macht, einen Fehler beim Abbruch der Navigation zu melden ("Die Navigation zu der Webseite wurde abgebrochen"). Mit einem präparierten Link ist es möglich, JavaScript in diese lokal vordefinierte Fehlerseite (navcancl.htm) einzuschleusen und so eigene Inhalte anzuzeigen.

Das allein ist nicht allzu dramatisch; durch einen Designfehler zeigt der Internet Explorer 7 dabei in der Adresszeile aber nur die URL der ursprünglich aufgerufenen Seite an, obwohl der dargestellte Inhalt nicht von dort stammt. Ein Anwender könnte sich also über die Herkunft des Inhalts der Seite täuschen lassen. Allerdings wird der gefälschte Inhalt der Seite erst eingeblendet, wenn das Opfer in der Fehlerseite den Link "Aktualisieren Sie die Seite" anklickt.

US-Medienberichten zufolge untersucht Microsoft das Problem. Betroffen sind der Internet Explorer 7 unter Vista und XP. Bis zu einer Lösung des Problems empfiehlt Aviv, nicht dem Aktualisierungslink in Fehlermeldungen zu folgen. Ein Wechsel auf andere Browser bringt kaum Abhilfe. Erst vor wenigen Tagen hatte Michal Zalewski eine Spoofing-Lücke in Firefox vorgeführt. Einzig für Opera sind derzeit keine Phishing-Lücken bekannt. Der Schein kann allerdings trügen. Aufgrund der eher geringen Marktanteile beschäftigen sich derzeit wenige Sicherheitsspezialisten mit dem Browser aus Norwegen.

Siehe dazu auch:

• Phishing using IE7 local resource vulnerability, Fehlerbericht von Raff Aviv

(dab)