Spoofing-Lücke im Internet Explorer

Noch hat Microsoft die drei Mitte März an die Öffentlichkeit gelangten und teilweise als kritisch eingestuften Sicherheitslücken nicht behoben, da steht schon neues Ungemach ins Haus. Zumindest Version 6 weist nachgewiesenermaßen eine Spoofing-Lücke auf: Durch Tricks kann in der Adresszeile eine beliebige URL angezeigt werden.

Dem Benutzer kann somit vorgegaukelt werden, dass er sich auf einer vertrauenswürdigen Website befinde, obwohl dies nicht der Fall ist. Lediglich beim Navigieren auf der gefälschten Website könnte dem Benutzer auffallen, dass beim Berühren von Links in der Statusleiste die tatsächliche Adresse angezeigt wird. Wie die anderen Sicherheitslücken in Microsofts Browser wird wohl auch diese binnen weniger Tage für Phishing-Angriffe genutzt werden.

Diese von Hai Nam Luke entdeckte Sicherheitslücke beruht auf einer Race Condition beim Anzeigen eines Flash-Movies während dem Laden der Website. Secunia stuft dieses Problem in seinem Advisory als „moderately critical“ ein und stellt eine Demonstration bereit. Beim Betrachten des Quelltextes der Demonstration fällt ins Auge, dass sich diese Sicherheitslücke mit nur drei JavaScript-Zeilen ausnutzen lässt.

Laut Secunia ist es unklar, ob das Problem auch auf andere Versionen als Internet Explorer 6.0 unter Windows XP mit Service Pack 1 oder 2 zutrifft. Wir können anhand der bereitgestellten Demonstration bestätigen, dass auch die neueste Internet Explorer 7.0 „Beta 2 Preview March Edition“ betroffen ist.