186077

Microsoft will XSS-Lücken im IE 8 endlich stopfen

21.04.2010 | 15:34 Uhr |

Nach zwei nur teilweise erfolgreichen Versuchen Fehler im XSS-Filter im Internet Explorer 8 zu korrigieren kündigt Microsoft für Juni ein weiteres Update an, mit dem Angriffsmöglichkeiten beseitigt werden sollen.

Der XSS-Filter im Internet Explorer 8 (IE 8) soll XSS-Angriffe (Cross-Site Scripting) im Web verhindern. Er enthält jedoch seit November 2009 bekannte Fehler , die derartige Attacken auf manchen Web-Seiten überhaupt erst ermöglichen. Bereits die beiden IE-Updates, die Microsoft in diesem Jahr bereit gestellt hat, enthalten Korrekturen des XSS-Filters, doch es sind immer noch Angriffsmöglichkeiten übrig geblieben.

Auf der Sicherheits-Konferenz Black Hat Europa in Barcelona haben David Lindsay und Eduardo Vela Nava in der letzten Woche demonstriert, dass es auch mit einem aktuellen IE 8 möglich ist den eingebauten XSS-Filter für Angriffe auf an sich nicht dafür anfällige Web-Seiten zu benutzen. Sie haben Texte und Bilder aus ihrem Vortrag sowie eine Demo-Seite ins Netz gestellt.

Microsoft hat nun angekündigt diese Lücken mit einem weiteren IE-Update schließen zu wollen, das David Ross im MSRC-Blog für Juni in Aussicht stellt. Bereits die kumulativen Sicherheits-Updates aus den Security Bulletins MS10-002 im Januar und MS10-018 Ende März haben Teile des Problems behoben. David Ross meint, die bereits geschlossenen Lücken im XSS-Filter seien bei bekannten Websites tatsächlich nutzbar gewesen. Die jetzt noch offene Schwachstelle sei hingegen nur schwer durch Beispiele aus dem richtigen Leben zu belegen.

Der Microsoft Patch Day im Juni ist für für Dienstag, den 8. Juni vorgesehen. Dann soll es ein weiteres IE-Update geben. David Ross vertritt ungeachtet der genannten Filterfehler die Ansicht, es sei heutzutage unabdingbar einen Browser mit XSS-Filter einzusetzen. Der resultierende Schutz überwiege die Risiken, die Filterfehler darstellen könnten.

0 Kommentare zu diesem Artikel
186077