Sicherheitsfunktion des Internet Explorer 8 unsicher
Der Cross-Site-Scripting-Schutz des Browsers aus Redmond soll Schwachstellen aufweisen, durch die Cross-Site-Scripting-Angriffe erst möglich werden.
- Daniel Bachfeld
Der im Internet Explorer 8 eingeführte Cross-Site-Scripting-Schutz soll Berichten zufolge Schwachstellen enthalten, die eigentlich nicht verwundbare Webseiten doch verwundbar machen. Angreifer könnten auf diese Weise etwa eigenen JavaScript-Code in eine HTML-Seite einschleusen und im Kontext der normalerweise sicheren Seite ausführen. Damit ließen sich etwa Cookies auslesen oder vom Opfer ungewollt Kommentare in Foren posten – Beispiele für XSS-Würmer gab es in der Vergangenheit genug. Microsoft soll bereits seit mehreren Monaten über das Problem informiert sein, bislang aber nicht reagiert haben.
Über die Ursache des Problems gibt es keine genauen Angaben. Laut Giorgio Maone, Entwickler des Firefox-Plug-ins NoScript, soll es sich um einen fundamentalen Designfehler handeln. Maone hat zusammen mit anderen Entwicklern verschiedene XSS-Schutzfunktionen in Browsern analysiert und ist dabei nach eigenen Angaben auf das Problem gestoßen. Gegenüber heise Security erklärte er jedoch, seine Informationen erst bei Verfügbarkeit einer Lösung veröffentlichen zu wollen. Es sei aber mit Kenntnis der Funktionsweise des XSS-Filters des IE8 nicht schwer, das Problem zu rekonstruieren.
Anders als NoScript filtert der XSS-Schutz des Internet Explorer 8 nicht die Requests des Clients nach verdächtigem Code, sondern die Antwort des Servers – und verändert sie unter Umständen. Dies lässt sich von Angreifer offenbar ausnutzen, um die Antwort des Servers zu manipulieren und eigenen Code einzuschleusen. Allerdings muss man nach Angaben von Maone eine gewisse Kontrolle über den Inhalt der Seite haben, die das Opfer aufgerufen hat. Dies ist etwa auf Social-Networking-Seiten, in Foren, Wikis und prinzipiell auch bei Google Apps der Fall. Google schaltet aber den XSS-Schutz des Internet Explorer durch Senden des Header X-XSS-Protection: 0 ab und ist somit nicht betroffen. Berichten zufolge hat Google diese Maßnahme aus Sicherheitsgründen ergriffen, da man von der IE-Schwachstelle bereits wisse und Anwender schützen wolle, bis Microsoft einen Patch herausgegeben habe.
Siehe dazu auch:
(dab)
