123154

Neue Sicherheitslücke im Internet Explorer nutzt "Zurück-Button"

17.04.2002 | 15:23 Uhr |

Ein Student aus Schweden hat ein neues Sicherheitsleck im Internet Explorer entdeckt. Benutzt der Surfer den Zurück-Button in seinem Browser, kann ein Angreifer mittels eines Javascript-Codes auf einer von ihm präparierten Website Dateien und Cookies auf dem Rechner des Benutzers lesen oder ein Programm auf dessen System starten.

Ein Student aus Schweden hat ein neues Sicherheitsleck im Internet Explorer entdeckt. Benutzt der Surfer den Zurück-Button in seinem Browser, kann ein Angreifer mittels eines Javascript-Codes auf einer von ihm präparierten Website Dateien und Cookies auf dem Rechner des Benutzers lesen oder ein Programm auf dessen System starten.

Der Internet Explorer weist Websites verschiedene Vertrauensstufen, "Zonen" genannt, zu. Für jede dieser Zonen können Sie die Sicherheitseinstellungen individuell festlegen.

Zonen-Einteilung im Internet Explorer

Genau diese Sicherheits-Vorrichtung lässt sich mit einem geeigneten Javascript umgehen. Der Microsoft-Browser speichert nämlich Javascript inURLsin seiner History-Liste. Erzwingt ein Angreifer nun auf einer von ihm präparierten Website, dass der Surfer auf den "Zurück-Button" klickt, so wird das Javascript vom Anwender unbemerkt in der Sicherheitszone des Browsers ausgeführt, die im Internet Explorer für die zuletzt geöffnete Seite gewählt war. So können die von Zone zu Zone unterschiedlichen Sicherheitseinstellungen umgangen werden. Mit dem Script kann der Angreifer dann Dateien und Cookies auf dem Rechner des Anwenders lesen oder ein Programm auf dessen System starten.

0 Kommentare zu diesem Artikel
123154