Bug: Internet Explorer verrät Inhalt der Adressleiste

Durch einen Bug im Internet Explorer können Dritte die Adresszeile eines Nutzers ausspionieren und URLs sowie Suchbegriffe erfassen. Das bewies ein Sicherheitsforscher mit einer Demo-Website. Microsoft will das Problem beheben.

In Pocket speichern vorlesen Druckansicht 68 Kommentare lesen
Bug: Internet Explorer verrät Inhalt der Adressleiste
Lesezeit: 2 Min.

Ein Bug in der aktuellen Version des Internet Explorers verrät den Inhalt der Adresszeile – also eingetippte URLs und auch Suchanfragen. Eine präparierte Website kann die Adresszeile recht einfach einsehen, wie der Sicherheitsforscher Manuel Caballero in einem Proof of Concept beweist. Um die Adresszeile auszulesen, nutzt er das HTML-Tag <object>, das ein Skript einbindet. Eine fehlerhafte Ausgabe von location.href führt schließlich dazu, dass der Browser die eingetippte Adresszeile verrät, wie Caballero auf seiner Website ausführlich erklärt.

Zusätzlich hat Caballero ein Beweisvideo aufgenommen. Es zeigt, wie er eine URL eintippt, die seine Demo-Website sofort wiedergibt. In dem Beispiel unterbricht die Seite den Ladeprozess, um die erfasste URL anzuzeigen. Ein Angreifer würde die Seite so präparieren, dass sie den Nutzer an die gewünschte URL weiterleitet. Er bemerkt somit nicht, dass die Adressleiste ausgelesen wurde. Dabei lassen sich auch Suchanfragen sammeln: Der Internet Explorer reicht den eingetippten Suchbegriff aus der Adresszeile standardmäßig an Bing weiter, die URL bing.com/search?q=wetter+in+hannover verrät die eingetippten Suchbegriffe. Ähnlich sieht es bei Google-Anfragen aus.

Auch wenn der Internet Explorer veraltet ist, nutzen ihn immer noch viele Leute. Es sei deshalb kritisch, dass es viele Bugs und offene Sicherheitslücken im Browser gebe, "and nobody seem to care", schreibt Caballero. Die Fehler sollten behoben werden, zumindest solle Microsoft eine deutliche Warnung einblenden und auf seinen moderneren Edge-Browser verweisen. Tatsächlich ist der IE-Nachfolger von dem Adressleisten-Bug nicht betroffen. Gegenüber dem Tech-Blog Ars Technica kündigte Microsoft ein Update für den IE im Rahmen des "Patch Tuesdays" an.

(dbe)