ComputerBase Menü
Registrieren
Suche
  1. ComputerBase
  2. Apps

Erste Sicherheitslücke im Internet Explorer 7

Steffen Weber
63 Kommentare

Kaum wurde zumindest die englische Version 7 des Internet Explorer veröffentlicht, meldet sich der Sicherheitsdienstleister Secunia zu Wort: Man habe eine Sicherheitslücke gefunden, denn mit dem „mhtml“-URI-Handler könne die angezeigte Website auf persönliche Daten von einer fremden Domain zugreifen.

Grundsätzlich sollte ein Browser einer Website nur Zugriff auf solche Daten ermöglichen, die von der Domain der angezeigten Website stammen. Bei Verwendung des „mhtml“-URI-Handlers stellt Internet Explorer 7 dies jedoch nicht sicher. Wenn das Opfer auf einer dritten Website eingeloggt ist, kann eine bösartige Website somit Zugriff auf dort vorhandene persönliche Daten erlangen oder gar im Namen des Anwenders ohne dessen Zutun Aktionen auf dieser Website ausführen (Stichwort Cross-Site Request Forgery).

Dabei fällt der Internet Explorer 7 auf folgenden Trick herein: Zwar wird grundsätzlich die Domain der angeforderten Seite überprüft. Doch wenn der Webserver die Anfrage auf eine andere Domain umleitet, folgt Internet Explorer 7 dieser Anweisung ohne Murren.

Theoretisch kann eine solche Sicherheitslücke auch für Denial-of-Service-Attacken ausgenutzt werden, indem eine bösartige Website verwundbare Browser dazu veranlasst, wiederholt Anfragen an den auszuschaltenden Server zu senden. Dazu müsste die bösartige Website jedoch zahlreiche Besucher auf sich ziehen, so dass dieses Szenario – wenn auch nicht unmöglich – als unwahrscheinlich gilt.

Schwerwiegender ist, dass der Internet Explorer 7 – wie eingangs erwähnt – einer bösartigen Website den Zugriff auf den Inhalt fremder Websites ermöglicht und diese somit Zugriff auf dort angezeigte persönliche Daten erlangen sowie Aktionen im Namen des Opfers ausführen kann. Secunia stuft diese Sicherheitslücke als „weniger kritisch“ ein und hat eine Demonstration verfügbar gemacht. Wann Microsoft einen Patch bereitstellen wird, ist noch nicht bekannt.

Bei einem Test von ComputerBase zeigte sich auch Internet Explorer 6 unter Windows XP SP2 für diese Sicherheitslücke anfällig.

CB-Funk Podcast #66: EKWB am Abgrund, arm(e) AI-PCs und Benchmarks en masse mit Fabian und Jan-Frederik

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz