115590

Neuauflage einer alten IE-Lücke

31.10.2006 | 14:07 Uhr |

Es gibt Meinungsverschiedenheiten zwischen Secunia und Microsoft über eine angebliche dritte Schwachstelle im Internet Explorer 7. Es handelt sich um ein beim IE6 seit Jahren bekanntes Verhalten des Browsers.

Die dänische Sicherheitsfirma Secunia meldet die nach eigener Einschätzung dritte Sicherheitslücke in der neuen Version 7 des Internet Explorers. Die als "Window Injection Vulnerability" bezeichnete Schwachstelle wird von Secunia als "moderately critical" eingestuft - das ist bei Secunia ein mittlerer Schweregrad.

Eine Website kann Inhalte in einem Browser-Fenster darstellen, das von einer anderen Website geöffnet worden ist. Voraussetzung ist, dass der Name des Fensters bekannt ist. So könnte bei flüchtiger Betrachtung der Eindruck entstehen, die Inhalte kämen von der Website, die das Fenster ursprünglich geöffnet hat.

In einer Stellungnahme im Weblog des Microsoft Sicherheitsteams schreibt Christopher Budd, es handele sich dabei nicht um eine Sicherheitslücke. Zudem würde mit dieser Secunia-Meldung lediglich eine bereits im Jahr 2004 diskutierte Angelegenheit wieder aufgewärmt.

Es sei, so Budd weiter, für verschiedene Websites wichtig, Inhalte in Fenstern darstellen zu können, die von anderen Domains stammen. Geschehe dies bei einem Popup-Fenster ohne Adresszeile, könne ein Besucher den Eindruck gewinnen, die Inhalte stammten von der ursprünglichen Website. Dieser Eindruck könne jedoch nur entstehen, wenn der Besucher die Herkunft der Inhalte nicht überprüfe.

Microsoft habe, obwohl man diese Situation nicht als Sicherheitsproblem ansehe, bei der Entwicklung des IE7 solche Fälle berücksichtigt. Um dem Benutzer zu helfen die Herkunft der Inhalte von Popups ohne Adresszeile richtig einzuschätzen, blende der IE7 bei Popups eine zusätzliche Adresszeile ein, aus der die tatsächliche Web-Adresse erkennbar sei. Dies könne mit der Testseite von Secunia nachvollzogen werden. Die Abbildung links zeigt dieses Feature auf der Testseite von Secunia.

Mit anderen Worten: "It's not a bug - it's a feature."

0 Kommentare zu diesem Artikel
115590