Phishing-Lücke im MSIE und Outlook Express

Steffen Weber
1 Kommentar

Microsofts Internet Explorer und Outlook Express machen durch eine Sicherheitslücke auf sich aufmerksam, mit welcher es ohne Einsatz von Javascript und somit auch bei restriktiven Sicherheitseinstellungen möglich ist, den Anwender gefälschte Links unterzujubeln.

Bei diesen Links wird in der Statuszeile Outlooks bzw. des Internet Explorers nicht dieselbe Adresse angezeigt, die nach einem Klick auf den Link aufgerufen wird (Spoofing). Folge dieser Entdeckungen wird aufgrund des hohen Verbreitungsgrades dieser Anwendungen wohl eine zunehmende Anzahl erfolgreicher Phising-Angriffe sein, wobei der Benutzer unter anderem dazu gebracht werden soll, auf nachgeahmten Websites sensible Daten wie Kontonummer und PIN preiszugeben (Phising).

Ein Patch steht zum jetzigen Zeitpunkt noch nicht bereit und auch das Service Pack 2 für Windows XP kann in diesem Fall nicht zur Minderung des Auswirkungen beitragen. Weitere Details zu der Sicherheitslücke findet man in einer E-Mail an die Mailingliste Full Disclosure. Eine Demonstration der Sicherheitslücke ermöglicht der c't-Emailcheck.