Schwachstelle im Internet Explorer 7 hilft Phishern
Der Sicherheitsdienstleister Secunia zeigt in einer Demo, wie sich die URL in der Adressleiste eines Pop-up-Fensters fälschen lässt. Phisher könnten dies für Angriffe ausnutzen
Mit dem Internet Explorer 7 wollte Microsoft Anwender zukünftig besser vor Phishing-Angriffen schützen. Dies scheint nur zum Teil gelungen, wie der Sicherheitsdienstleister Secunia in der Demonstration einer Schwachstelle der jüngsten Browserversion von Microsoft zeigt [1]. So gelingt es Secunia durch einfaches Anhängen bestimmter Zeichen an eine URL, die angezeigte Adresse in der Adressleiste eines Pop-up-Fensters zu fälschen: In der Demo [2] zeigt die Adressleiste www.microsoft.com an, obwohl der Inhalt von Secunia stammt.
Dies ist auch deshalb besonders ernüchternd, weil Microsoft die Ausstattung jedes geöffneten Fensters und Pop-ups mit einer Adresszeile als zusätzliches Sicherheitsmerkmal des Internet Explorer 7 anpreist. Beim Internet Explorer 6 konnte eine Seite weitere Fenster öffnen, ohne dass erkenntlich war, zu welcher Adresse sie gehörte. Immerhin war damit unter Umständen noch das Misstrauen des Anwenders geweckt, was beim Internet Explorer 7 nun nicht mehr unbedingt der Fall ist.
Bereits am Tage der Veröffentlichung der finalen Version des Internet Explorer 7 zeigte [3] Secunia ein Problem im Browser auf, mit dem Angreifer Inhalte geöffneter Fenster ausspähen konnten – ein Problem das Microsoft schon sechs Monate bekannt war. Microsoft meinte [4] dazu in einer Stellungnahme, das Problem sei weder im Internet Explorer 6 noch im Internet Explorer 7 zu suchen, obwohl die Schwachstellendemonstration diese Browser als Angriffsvektor nutze. Schuld sei vielmehr eine Outlook-Express-Komponente in Windows; man untersuche die Angelegenheit noch.
Siehe dazu auch: (dab [5])
- Internet Explorer 7 Popup Address Bar Spoofing Weakness [6], Fehlerbericht von Secunia
URL dieses Artikels:
https://www.heise.de/-111736
Links in diesem Artikel:
[1] http://secunia.com/advisories/22542/
[2] http://secunia.com/internet_explorer_7_popup_address_bar_spoofing_test/
[3] https://www.heise.de/news/Erste-Sicherheitsluecke-im-Internet-Explorer-7-Update-173550.html
[4] https://www.heise.de/news/Hick-Hack-um-Luecke-im-Internet-Explorer-7-174083.html
[5] mailto:dab@ct.de
[6] http://secunia.com/advisories/22542/
Copyright © 2006 Heise Medien