Missbrauch vertrauenswürdiger Websites möglich

Fehler in Webserver-Software lassen sich ausnutzen, um Javascript-Filter oder das Sicherheitszonenmodell im Internet Explorer zu umgehen. Dadurch kann ein Angreifer über eine ungültige URL auf dem Rechner des Surfers Javascript ausführen, obwohl es ihm selbst (genauer: seiner Domain) verboten ist.

Einige Webserver geben beim Aufruf von nicht vorhandenen Seiten in ihrer Fehlermeldung die angeforderte URL Zeichen für Zeichen wieder. Solches Fehlverhalten ist in der Sicherheitsmailingliste Bugtraq für den Internet Information Server (IIS) und WebSite Pro dokumentiert worden. Georgi Guninski fiel auf, dass hierdurch ein Risiko für Surfer entsteht: Befinden sich in der URL Javascript-Befehle, so werden diese in der Rückantwort bewertet, als ob sie von dem Host stammen, der die Fehlermeldung gibt. Damit kann ein Angreifer einer vertrauenswürdigen Site Code unterschieben, wenn diese derart "gesprächige" Serversoftware einsetzt.

Beispielsweise könnte ein Benutzer des Internet Explorers (IE) unserem Tipp gefolgt sein, in der Internetzone die Ausführung von JavaScript zu verbieten und nur ausgewählten Sites über das Zonenmodell aktive Inhalte zu erlauben. Hätte er etwa den Microsoft Updatehost als vertrauenswürdige Site eingetragen, dann würde durch diese URL JavaScript ausgeführt, obwohl sie von heise.de stammt (Achtung: der Link zeigt eine harmlose Dialogbox, führt aber zu einer Endlosschleife im Explorer). Auf die gleiche Weise würde ein Sicherheitsprogramm ausgetrickst, das JavaScript-Code nur von ausgewählten Sites durchlässt: Ein Beispiel für den O'Reilly-Server (dort läuft WebSite Pro) ist dieser Link (arbeitet mit Netscape und IE - aber auch Opera ist vor solchen Attacken nicht gefeit).

Wer vor den ständig auftauchenden Sicherheitslücken aktiver Inhalte sicher sein will, für den bleibt derzeit also doch nur: JavaScript & Co. vollständig abzuschalten. (nl)