Wieder Phishing-Lücke im Internet Explorer

Wieder ist eine neue Phishing-Lücke im Internet-Explorer der Firma Microsoft aufgetaucht. In einem Advisory der Sicherheitsspezialisten von Greyhat wird erläutert, wie durch das als sicher eingestufte ActiveX-Control „DHTML Edit“ beliebiger Code eingeschleust werden kann.

HTML- sowie JavaScript-Code ließen sich demnach durch das ActiveX-Control DHTML-Edit (dhtmled.ocx) in eine geöffnete Webseite einbinden. Zudem ist das Control „Save for Scripting“ und lässt sich per JavaScript sogar fernsteuern. Dadurch, dass sich beliebiger Code einschleusen lässt, kann auch durch execScript() zusätzlich noch Code in andere Seiten eingebunden werden.

Das Fatale daran ist, dass sich der komplette Code einer Seite austauschen lässt, ohne dass sich die angezeigte Adresse ändert. Für das Opfer der Atacke kommt der angezeigte Code eindeutig von der von ihm ausgewählten Quelle, welche beispielsweise auch eine Seite einer Online-Bank sein kann. Somit ist das DHTML-Edit-Control erneut ein Sprungbrett für potentielle Phishing-Angreifer. Abhilfe schaffe derzeit lediglich das Abschalten von ActiveX für die Internetzone.