67980

Neue IE-Lücke: Angreifer können Browser missbrauchen

29.09.2005 | 17:42 Uhr |

Eine neu entdeckte Sicherheitslücke im Internet Explorer erlaubt es Angreifern, über den Browser des Opfers Daten aus dem Web abzurufen.

Eine neu entdeckte Sicherheitslücke im Internet Explorer betrifft das Javascript-Objekt "XmlHttpRequest". Um die Lücke auszunutzen, müsste ein Angreifer ein präpariertes Javascript in seine Website einbauen. Es würde dafür sorgen, dass der Internet Explorer von einer beliebigen Website Daten abruft und an den Angreifer weiterleitet. Dabei soll es auch möglich sein, den Referrer-Wert im HTTP-Header zu fälschen.

All das funktioniert aber nur, wenn der Anwender einen Proxy nutzt - wobei nicht jede Proxy-Software die manipulierten Anfragen durchlässt. Greift der Anwender ohne Proxy aufs Internet zu, gelingt die Attacke nur, wenn die IP-Adresse der Website des Angreifers und die des Ziel-Servers die gleiche ist. Das kommt jedoch nur selten vor - zum Beispiel dann, wenn beide Sites bei einem Massenhoster wie Geocities liegen.

Welche weiteren Angriffe durch diese Lücke denkbar wären, beschreibt der Entdecker der Schwachstelle auf dieser englischsprachigen Seite. Schutz bietet das Deaktivieren von Active Scripting oder die Benutzung eines alternativen Browsers.

Sicherheits-Newsletter: Sie möchten in punkto Sicherheit immer auf dem Laufenden bleiben? Dann abonnieren Sie doch einfach unseren kostenlosen Security-Newsletter. Dieser wird werktäglich verschickt. Bei Bedrohungen, die sofortiges Handeln erfordern, erhalten Sie zudem einen Security-Alert per Mail. Sie können den Newsletter auf dieser Website bestellen .

0 Kommentare zu diesem Artikel
67980