Internet Explorer veruntreut Paßwörter

"Page Redirect" heißt der neueste entdeckte Sicherheits-Bug des Internet Explorer. Er ermöglicht, daß die Authentifizierungsinformationen eines Benutzers von paßwortgeschützten Sites in die falschen Hände gelangen. Betroffen sind die Versionen 4.0 und 3.02 des Browsers für Windows 95 und NT sowie die Betaversion 4.0 für Unix. Microsoft hat bereits einen Fix auf seinem Server bereitgestellt. Laut Microsoft ist bisher niemand durch das Problem zu Schaden gekommen.

Der Fehler kommt zum Tragen, wenn der Besucher einer paßwortgeschützten Site auf einen anderen Server umgeleitet wird. Stark frequentierte Sites benutzen solche Mechanismen, um die Last auf mehrere Server zu verteilen. In so einem Fall kann auch die zweite Site die Zugangsinformationen lesen, also Benutzerkennwort und Paßwort. Spiegelt ein Angreifer, etwa via DNS-Spoofing, einen falschen zweiten Server vor, so kann er die Zugangsdaten abfangen. Diese werden zwar häufig verschlüsselt übermittelt, allerdings sind die dafür benutzten Verschlüsselungsverfahren relativ einfach zu knacken. (jo)