Google sichert Desktop-Suche gegen aktuelle IE-Lücke
Die Desktop-Suche diente einem Proof-Of-Concept-Exploit als Demonstration des Gefahrenpotenzials der Lücke im Stylesheet-Import des Internet Explorers.
Google hat den Online-Teil seiner Desktop-Suche derart verändert, dass sie sich nicht mehr für einen Proof-Of-Concept-Exploit zur vergangenen Woche gemeldeten Lücke im Stylesheet-Parser des Internet Explorers nutzen lässt. Der Entdecker Matan Gillon demonstrierte am Beispiel der Desktop-Suche, wie sich durch die Sicherheitslücke vertrauliche Informationen gewinnen lassen.
Das eigentliche Problem im CSS-Parser des Internet Explorers bleibt hingegen vorerst ungepatcht. Dieses ermöglicht schadhaftem JavaScript-Code unerlaubte Inter-Domain-Zugriffe. Von den so gewonnenen Daten lassen sich allerdings nur die Teile auswerten, die eine CSS-Struktur mit geschweiften Klammern aufweisen. Diese lassen sich jedoch häufig über die URL-Parameter dynamischer Webseiten an geeigneten Stellen einschleusen.
Siehe dazu auch: (cr)
