spacer
30.06.2008, 16:17 Uhr
Autor: Frank Ziemann

Neue IE-Lücke

Geisterscripte im Internet Explorer

Eine jetzt erst bekannt gewordene Schwachstelle im Internet Explorer ermöglicht es einmal geladenem Javascript-Code beim Besuch weiterer Websites im Speicher zu bleiben und alle Eingaben zu protokollieren.
Im Rahmen der von Microsoft veranstalteten Sicherheitstagung "BlueHat Security Briefings" Anfang Mai in Seattle hat der Sicherheitsforscher Manuel Caballero ein "Geisterscript" vorgestellt, das im Speicher bleibt, bis der Browser komplett beendet wird. Dabei kann es alle Eingaben in Web-Formulare protokollieren. Nach Einschätzung anderer Forscher könnten neben dem Internet Explorer auch andere Browser davon betroffen sein.

Die Präsentation fand in einem kleinen Kreis handverlesener Teilnehmer statt, Einzelheiten drangen jedoch im Laufe der Zeit an die Öffentlichkeit. Eine chinesische Hackergruppe hat bereits eine Demo veröffentlicht, das nur im Internet Explorer 6 funktioniert. Der mexikanische Sicherheitsforscher Eduardo Vela hat unterdessen ein Keylogger-Script vorgestellt, das auch im IE 7 und 8 funktioniert.
So ganz neu ist der Gedanke nicht, denn bereits im März 2007 stellte der Sicherheitsexperte Billy Hoffman auf einer Hacker-Konferenz ein Javascript-Tool namens Jikto vor, das ähnliches leistet. Auch Jikto bleibt, einmal geladen, im Speicher und erlaubt das Ausspionieren persönlicher Daten, während der Anwender diverse weitere, nicht zusammen gehörende Websites besucht.
So einfach das klingt, in modernen Browsern sollte es eigentlich nicht funktionieren. Sie enthalten alle eine Grundregel zum Schutz vor XSS-Angriffen (Cross-Site Scripting), die so genannte "Same Origin Policy". Diese Regel besagt, dass Javascript-Code nur im Kontext der Website ausgeführt werden darf, von der das Script stammt. Es werden allerdings auch immer wieder Fehler bei der Umsetzung dieser Regel entdeckt, die dann XSS-Angriffe erlauben.
Roel Schouwenberg von Kaspersky Lab berichtet im Kaspersky-Blog unabhängig von diesen Geisterscripten über eine weitere XSS-Schwachstelle im IE, die sich jedoch eignen kann, um solche Geisterscripte einzuschleusen. Dabei wird Javascript-Code in einem GIF-Bild versteckt und vom IE ausgeführt. Dadurch wird es noch gespenstischer, denn im Quelltext der betreffenden Web-Seite findet sich dann keinerlei Hinweis auf die Verwendung von Javascript.
Wie Schouwenberg berichtet, ist das kein theoretisches Problem - er habe gerade erst eine Website entdeckt, die genau diese Methode verwende. Er habe Microsoft bereits "vor langer Zeit" auf das Problem hingewiesen, Microsoft habe jedoch damals erklärt, das sei "kein Bug, sondern ein Feature".
Tipps der Redaktion
Weitere Artikel zu:  Geisterscripte im Internet Explorer, Javascript
Bestenlisten: Notebooks (bis 1000 Euro), Digicams (bis 250 Euro), LCD-TVs, TFTs
Angebote zum Thema:  Jetzt gratis testen: Norton Internet Security 2009
Marktplatz
Office 2007 Enterprise Office 2007 Enterprise
für 107,00 € bei:
Lumix DMC-FZ28 schwarz Lumix DMC-FZ28 schwarz
für 349,00 € bei:

Top Firewall & Antiviren-Software-Angebote
Symantec: Norton SystemWorks 2007 Basic Edition
26,99€
Amazon.de
Symantec: Norton Internet Security 2007
80,99€
Amazon.de
Symantec: Norton Internet Security 2009
39,99€
KIDOH GmbH
Top-Tests im Überblick
1.
SATA-SSDs bis 300 Euro im Vergleich: Die besten...
2.
Vergleichstest: Die besten Netbooks
3.
Fünf kostenlose Firewalls im Test
4.
DirectX-10-Grafikkarte: Grafikkarte HIS Radeon HD...
5.
Vergleichstest: Die beste externe Festplatte mit...
PC-WELT Specials
Anzeige

PC-WELT Hit

Nokia Comes with Music - über 5 Millionen Songs kostenlos und unbegrenzt herunterladen.

Virtual Data Center

Virtualisierung, Energie-Effizienz, Sicherheit - erfahren Sie alles rund um dieses Thema.
PC-WELT.tv
Bitte aktivieren Sie JavaScript in Ihren Browseroptionen und installieren Sie das Flash-Plugin von Adobe. Die neueste Version könn Sie hier downloaden.
Jetzt neu auf PC-WELT.de

Gadgetman

Die neue Show auf PC-WELT.tv - schrill, verrückt, kurios! mehr

Speedmeter.de

Die besten DSL- Provider im Überblick - mit Speedtest. mehr

Windows 7

Tipps, Ratgeber, Test - alles zum neuen OS von Microsoft. mehr
  • Sonderheft
  • Die neue PC-WELT
  • LINUX
Exklusiv für PC-WELT Leser

Kostenloses eBooklet

Linux-Einstieg mit Open Suse 11.1 - Wir stellen Ihnen die Linux-Distribution ausführlich vor

Arcor Sommeraktion

Sparen Sie mit Arcor bares Geld! Jetzt 7 Monate für 0.- € inklusive Telefonflat sichern

Seagate-Aktion

Sichern Sie sich ein kostenloses Filmpaket beim Kauf von FreeAgent/Go

iPhone zum Studententarif

Das iPhone zum Schnäppchenpreis: Alle 18 bis 25-jährigen zahlen nur 34,95.- € monatlich

Kostenlose Newsletter von PC-WELT

Best of PC-WELT Software & OS Business IT Tipps & Tricks Downloads Security Hardware Mobile Computing Newstube Community Digital Lifestyle Telekommunikation