Experten warnen

IE-Lücke erlaubt das Ausspionieren der User (2. UPDATE)

Freitag, 14.12.2012 | 11:45 von Panagiotis Kolokythas
Neue IE-Lücke entdeckt
Vergrößern Neue IE-Lücke entdeckt
© istockphoto.com/barisonal
Laut Sicherheitsexperten steckt im Internet Explorer eine Sicherheitslücke, die es Angreifern erlaubt, die Mausbewegungen auf dem Bildschirm zu verfolgen. Die Lücke soll bereits von seriösen Unternehmen ausgenutzt werden.
Update (14.12., 11:40 Uhr): Dean Hachamovitch, Microsoft Corporate Vice President für den Internet Explorer, hat sich nun in einem Blog-Eintrag im IEBlog über die Lücke geäußert. "Von dem was wir wissen, hat das zugrunde liegende Thema eher etwas mit dem Wettbewerb zwischen Analytics-Unternehmen als mit der Sicherheit der Anwender zu tun", schreibt Hachamovitch. Man arbeite daran, dieses Verhalten des IE anzupassen.

Update (14:50 Uhr): Microsoft hat gegenüber PCWELT.de nun folgendes zu der in diesem Artikel beschriebenen Sicherheitslücke erklärt: „Wir untersuchen derzeit den Fall. Aktuell gibt es keine Berichte zu gezielten Angriffen oder betroffenen Anwendern. Sobald weitere Informationen vorliegen, werden wir diese bereitstellen und angemessene Maßnahmen ergreifen, unsere Kunden zu schützen.“

Die britischen Sicherheitsexperten von Spider.io haben am Mittwoch einen Bericht veröffentlicht, laut dem im Internet Explorer eine Sicherheitslücke stecken soll. Laut Angaben von Spider.io wurde Microsoft bereits am 1. Oktober 2012 über diese Lücke informiert. Von der Lücke sollen der Internet Explorer 6 bis 10 betroffen sein. Die Lücke erlaube ein Tracking aller Mausbewegungen auf dem Bildschirm, selbst wenn das Internet-Explorer-Fenster aktuell minimiert sei. Dadurch werde auch die Sicherheit von virtuellen Tastaturen kompromittiert, die Nutzern bei der sicheren Eingabe von Passwörtern helfen sollen.

Das Sicherheitsteam von Microsoft, so heißt es in dem Bericht weiter, habe die Lücke bestätigt. Allerdings gäbe es derzeit keinerlei Pläne, die Sicherheitslücke per Update zu schließen. "Es ist wichtig, die Nutzer vom Internet Explorer über die Sicherheitslücke und ihre Auswirkungen zu informieren", heißt es in dem Bericht von Spider.io.

Mindestens zwei große Advertising-Analytics-Unternehmen. so Spider.io-Chef Douglas de Jager, sollen die Lücke bereits für eigene Zwecke missbrauchen, um die Sichtbarkeit von Werbung auf Websites zu messen. Den über Werbe-Netzwerken ausgelieferten Werbeformen werde dabei ein spezieller Javascript-Code hinzugefügt, der dabei helfe festzustellen, ob die ausgelieferte Werbung tatsächlich von Anwendern gesehen worden ist. Diese Information sei überaus nützlich, weil die Werbetreibenden dadurch nicht nur die Information erhalten, ob ihre Werbung auf einer Seite ausgeliefert worden ist, sondern auch darüber, ob der Anwender sie dann auch schließlich gesehen habe. Normalerweise sei diese Information nicht verfügbar, weil der Browser diese nicht übertrage.

Über die IE-Lücke könne allerdings festgestellt werden, in welcher Position sich der Cursor in Relation zur Werbung befindet und dadurch über einfache Triangulation errechnet werden, ob die Werbung für den Nutzer sichtbar ist. Wie das genau funktioniert, erläutert de Jager in diesem Video auf Youtube .

Freitag, 14.12.2012 | 11:45 von Panagiotis Kolokythas
Kommentieren Kommentare zu diesem Artikel (0)
1650554