Schwachstelle in JavaScript-Engines soll Phishern die Arbeit erleichtern

Eine Schwachstelle in den JavaScript-Engines aktueller Browser wie dem Internet Explorer, Firefox, Safari und Chrome soll Phishern die Arbeit erleichert. Nach Angaben des auf Online-Banking spezialisierten Sicherheitsdienstleisters Trusteer, dessen Cheftechniker der bekannte Sicherheitspezialist Amit Klein ist, kann eine Webseite über eine bestimmte JavaScript-Funktion feststellen, auf welchen anderen Seiten ein Anwender gerade eingeloggt ist.

Hat der Anwender etwa in einem anderen Fenster eine Verbindung zum Online-Banking seiner Bank aufgebaut, so kann eine präparierte, in einem weiteren Fenster geöffnete Webseite herausfinden, welche Bank dies ist. Dazu passend kann sie dann ein Pop-up-Fenster mit dem Logo und Schriftzug der Bank und beispielsweise der Aufforderung zur nochmaligen Eingabe der Login-Daten öffnen. Unvorsichtige Anwender könnten auf diesen Trick hereinfallen und die Daten nochmals eingeben – die dann allerdings bei den Phishern landen.

Um welche JavaScript-Funktion es sich genau handelt, schreibt Trusteer in seinem Bericht (PDF-Dokument) nicht. Die Funktion gebe aber nicht einfach die Information über geöffnete Seiten zurück, vielmehr müsse man ein Liste von Bankenseiten durchgehen und anfragen, ob der Anwender dort angemeldet sei. Als Antwort bekäme man "Ja" oder "Nein" zurück. Für einen Phishing-Angriff müsse eine manipulierte Webseite einfach eine größere Liste bekannter Banken und Finanzinstitute vorhalten.

Schutz vor solchen von Trusteer als "In-Session" bezeichneten Angriffen bietet unter anderem das Abmelden und Schließen von Online-Banking-Seiten, bevor man andere Webseiten ansurft. Ob Trusteer das Problem in den JavaScript-Engines an die Hersteller gemeldet hat, ist unbekannt. (dab)