Microsoft nennt Workarounds zum URL-Spoofing
Microsoft geht in einem Knowledge-Base-Artikel auf das kürzlich gefundene Sicherheitsproblem im Internet Explorer ein, das es Angreifern ermöglicht, Nutzern gefälschte URLs unterzuschieben.
Microsoft geht in einem Knowledge-Base-Artikel auf das kürzlich gefundene Sicherheitsproblem ein, das es Angreifern ermöglicht, Internet-Explorer-Nutzern gefälschte URLs unterzuschieben. Konstrukte in einem Link wie http://www.microsoft.com%01@www.heisec.de gaukeln Anwendern vor, dass sie sich auf der Seite www.microsoft.com befinden, obwohl eigentlich die Seite www.heisec.de angezeigt wird -- die Adressbar des Internet Explorer unterschlägt den Teil hinter dem @. Eine Demonstration dieser Lücke finden Sie im c't-Browsercheck.
Im Knowledge-Base Artikel 833786 schlägt Microsoft verschiedene Workarounds vor, über die Anwender feststellen können, ob die angezeigte Seite mit der in der Adressleiste übereinstimmt. Um einen Link zu überprüfen, sollte man ihn über das Kontextmenü in die Zwischenablage kopieren ("Verknüpfung kopieren") und in einen Editor einfügen -- manipulierte URLs werden dabei mit übertragen. Ob die aktuell besuchte Seite mit der Anzeige in der Adressleiste übereinstimmt, soll man laut Microsoft mit JScript überprüfen, indem man beispielsweise Folgendes in die Adressleiste eingibt:
javascript:alert("Richtige URL: " + location.protocol + "//" + location.hostname + "/" + "\nAngegebene URL: " + location.href + "\n" + "If the server names do not match, this may be a spoof.");
Durch den Code-Schnipsel wird eine Dialogbox geöffnet, die die Adresse der dargestelllten Seite und diejenige der in der Adressleiste angezeigten vergleicht. Stimmen sie nicht überein, so handelt es sich um eine manipulierte Adresse.
Weiterhin empfiehlt Microsoft in dem Artikel, unabhängig vom Problem mit den Fake-URLs die Sicherheitseinstellungen für die Internet-Zone auf hoch zu stellen, wodurch kein ActiveX oder JScript ausgeführt werden kann. Seiten, denen man vertraut und die solche Elemente zur richtigen Anzeige benötigen, solle man in die Zone "vertrauenswürdige Seiten" eintragen. Microsoft sagt selbst, dass diese Maßnahme nichts mit dem URL-Spoofing zu tun hat, aber es hilft gegen andere Angriffe -- so sind die vor einigen Wochen von dem Chinesen Liu Die Yu gefundenen Sicherheitslücken dann ausnutzbar, wenn Nutzer Active Scripting aktiviert haben. Für diese Sicherheitslücken gibt es bislang keine Patches. (pab)
