123818

Geisterscripte im Internet Explorer

30.06.2008 | 16:17 Uhr |

Eine jetzt erst bekannt gewordene Schwachstelle im Internet Explorer ermöglicht es einmal geladenem Javascript-Code beim Besuch weiterer Websites im Speicher zu bleiben und alle Eingaben zu protokollieren.

Im Rahmen der von Microsoft veranstalteten Sicherheitstagung "BlueHat Security Briefings" Anfang Mai in Seattle hat der Sicherheitsforscher Manuel Caballero ein "Geisterscript" vorgestellt, das im Speicher bleibt, bis der Browser komplett beendet wird. Dabei kann es alle Eingaben in Web-Formulare protokollieren. Nach Einschätzung anderer Forscher könnten neben dem Internet Explorer auch andere Browser davon betroffen sein.

Die Präsentation fand in einem kleinen Kreis handverlesener Teilnehmer statt, Einzelheiten drangen jedoch im Laufe der Zeit an die Öffentlichkeit. Eine chinesische Hackergruppe hat bereits eine Demo veröffentlicht, das nur im Internet Explorer 6 funktioniert. Der mexikanische Sicherheitsforscher Eduardo Vela hat unterdessen ein Keylogger-Script vorgestellt, das auch im IE 7 und 8 funktioniert.

So ganz neu ist der Gedanke nicht, denn bereits im März 2007 stellte der Sicherheitsexperte Billy Hoffman auf einer Hacker-Konferenz ein Javascript-Tool namens Jikto vor, das ähnliches leistet. Auch Jikto bleibt, einmal geladen, im Speicher und erlaubt das Ausspionieren persönlicher Daten, während der Anwender diverse weitere, nicht zusammen gehörende Websites besucht.

So einfach das klingt, in modernen Browsern sollte es eigentlich nicht funktionieren. Sie enthalten alle eine Grundregel zum Schutz vor XSS-Angriffen (Cross-Site Scripting), die so genannte "Same Origin Policy". Diese Regel besagt, dass Javascript-Code nur im Kontext der Website ausgeführt werden darf, von der das Script stammt. Es werden allerdings auch immer wieder Fehler bei der Umsetzung dieser Regel entdeckt, die dann XSS-Angriffe erlauben.

Roel Schouwenberg von Kaspersky Lab berichtet im Kaspersky-Blog unabhängig von diesen Geisterscripten über eine weitere XSS-Schwachstelle im IE, die sich jedoch eignen kann, um solche Geisterscripte einzuschleusen. Dabei wird Javascript-Code in einem GIF-Bild versteckt und vom IE ausgeführt. Dadurch wird es noch gespenstischer, denn im Quelltext der betreffenden Web-Seite findet sich dann keinerlei Hinweis auf die Verwendung von Javascript.

Wie Schouwenberg berichtet, ist das kein theoretisches Problem - er habe gerade erst eine Website entdeckt, die genau diese Methode verwende. Er habe Microsoft bereits "vor langer Zeit" auf das Problem hingewiesen, Microsoft habe jedoch damals erklärt, das sei "kein Bug, sondern ein Feature".

0 Kommentare zu diesem Artikel
123818