Microsoft will weitere Lücke im XSS-Filter des Internet Explorer 8 schließen

Wenn eine Sicherheitsfunktion regelmäßig für mehr Unsicherheit sorgt, sollte man überdenken, ob es nicht sinnvoller ist, sie aus dem Produkt zu entfernen – oder das Konzept überarbeiten. Nicht so Microsoft: Ein drittes Update für den Cross-Site-Scripting-Filter des Internet Explorer 8 soll eine weitere Schwachstelle beseitigen, die eigentlich nicht verwundbare Webseiten doch verwundbar macht. Angreifer könnten auf diese Weise etwa eigenen JavaScript-Code in eine HTML-Seite einschleusen und im Kontext der normalerweise sicheren Seite ausführen.

Dass der XSS-Filter des Internet Explorer 8 Schwachstellen aufweist, ist bereits seit November des vergangenen Jahres bekannt. Microsoft hat auch bereits mit den Updates MS10-002 im Januar und MS10-018 im März einige davon behoben. Ein Update im Juni soll nun auf der vergangene Woche während der Black Hat präsentierte Lücken in Zusammenhang mit dem SCRIPT-Tag schließen. David Ross von Microsoft findet es jedoch weiterhin wichtig, dass ein Browser einen XSS-Filter enthält. Der Schutz vor normalen XSS-Angriffen überwiege in den meisten Fällen das potenzielle Risiko durch Fehler.

Anders als das populäre Firefox-Plug-in NoScript filtert der XSS-Schutz des Internet Explorer 8 nicht die Requests des Clients nach verdächtigem Code, sondern die Antwort des Servers (reflective XSS) – und verändert sie gegebenenfalls. Dies lässt sich von Angreifern ausnutzen, um die Antwort des Servers zu manipulieren und eigenen Code einzuschleusen. Allerdings muss man eine gewisse Kontrolle über den Inhalt der Seite haben, die das Opfer aufgerufen hat. Dies ist etwa auf Social-Networking-Seiten, in Foren und Wikis der Fall. Die Black-Hat-Präsentation führt als prominentestes Beispiel – wie könnte es anders sein – Facebook auf. Daneben sind aber auch Google und seine Dienste betroffen. Google schaltet aber den XSS-Schutz des Internet Explorer 8 durch Senden des Header X-XSS-Protection: 0 ab. Alternativ unterstützt der Internet Explorer 8 seit dem März-Update den Header X-XSS-Protection: 1; mode=block. Damit versucht der Browser die Antworten nicht mehr zu verändern, sondern blockiert im Zweifel den ganzen Inhalt einer Webseite.

Auch Googles Browser Chrome 4 enthält einen bislang experimentellen Cross-Site-Scripting-Schutz namens XSS Auditor. Der Filter prüft, ob ein JavaScript bereits in dem Request enthalten war, das beim Aufbau einer verwundbare Webseite nun zurückgeliefert wird. Wenn ja, handelt es sich sehr wahrscheinlich um eine reflektive XSS-Attacke, bei dem ein Angreifer einen Link manipuliert hat – der Browser führt das Skript dann nicht aus. Auch Chrome (respektive Webkit) unterstützt die X-XSS-Header; den Block-Mode jedoch erst in einer kommenden Version.

Siehe dazu auch:

• Sicherheitsfunktion des Internet Explorer 8 unsicher

(dab)