News & Rumors: 4. Februar 2015,

Sicherheitslücke im Internet Explorer 11 erlaubt Phishing-Attacken

Internet Explorer 10
Internet Explorer 10 - Screenshot

Sehr subtile Phishing-Attacken sind über eine neu beobachtbare Sicherheitslücke des Internet Explorers durchführbar, da eine grundlegende Sicherheitsmechanik des Browsers durch einen bloßen Textlink außer Gefecht gesetzt werden kann.

Wenn man einen Textlink entsprechend präpariert, so hat nun Sicherheitsexperte David Leo der Firma Deusen gezeigt, lässt sich die Sicherheitsmechanik im Internet Explorer aushebeln, die eigentlich dafür gedacht ist, nur Webseiteninhalte vom Ursprung der aufgerufenen Domain anzuzeigen („Same-Origin Policy“). Leo präparierte einen Textlink, der auf die britische Seite Dailymail.co.uk zeigte, bei einem Klick öffnete sich diese im Internet Explorer 11. Sieben Sekunden nach dem Öffnen wurde der Inhalt der Seite in „gehackt von Deusen“ geändert wurde. In der Browserzeile stand indes noch immer die Adresse von Dailymail.

XSS-Sicherheitslücke im IE11

Es handelt sich um einen Bug, der Cross-Site-Scripting (XSS) möglich macht und an deren Behebung ITler von Microsoft bereits arbeiten. Betroffen sind selbst vollständig gepatchte, aktuelle Versionen des Internet Explorer 11 unter Windows 7 und Windows 8.1. Der Exploit macht sich Iframes zunutze, um die erwähnte „Same-Origin Policy“ auszuhebeln.

Gegenüber Ars Technica gab ein Microsoft-Sprecher an, bislang sei nicht bekannt, dass dieser Bug in großem Maß missbraucht würde. Smartscreen, das standardmäßig im Internet Explorer angeschaltet sei, solle gegen Phishing-Versuche helfen. Gegen gezielte Angriffe, wie diejenigen aus David Leos Proof-of-Conept würde es jedoch nicht helfen. Microsoft rät Nutzern keine Links von nicht vertrauensvollen Quellen zu öffnen.

Webseiten-Betreiber können entgegenwirken

Auf die von Leo geschilderte Weise könnten Hacker sehr subtile Phishing-Attacken erzeugen, indem sie entsprechend präparierte Links in Umlauf bringen und dann Formulare auf Webseiten kopieren. Allerdings können Webseiten-Betreiber sich gegen die „gewaltsame“ Übernahme wehren, indem sie sogenannt „X-Frame-Header“ mit entsprechenden Informationen in ihren HTML-Code integrieren. Normalerweise nutzt man diese mit den Optionen „deny“ und „sameorigin“, um das Anzeigen der eigenen Inhalte in Frames anderer Domains zu verhindern. Allerdings gehen nicht alle Browser gleich mit den Einstellungen um, und es könnte passieren, dass der Nutzer am Ende nur eine weiße Seite angezeigt bekommt, oder vor andere Schwierigkeiten gestellt wird.

Artikel bewerten

Ähnliche Beiträge

iTunes-Backups für iOS 10 lassen sich viel leichte... Es hat durchaus seinen Reiz, die Daten des iPhones mit iTunes (statt mit iCloud) zu sichern. Wenn die Verschlüsselung aktiviert wird, werden Passwörte...
iPhone 7: Nachfrage hoch, für Verkaufsrekord wird ... Es ist beinahe egal, wen man fragt: Das iPhone 7 genießt eine hohe Nachfrage. Dazu reicht bereits ein Blick in die Lieferzeiten im Apple Store, aber m...
Apple arbeitet an Prototyp für Siri-Lautsprecher Berichten zufolge testet Apple derzeit einen ersten Lautsprecher-Prototypen, der mit Sensoren zur Gesichtserkennung ausgestattet ist. Genau wie bei Am...
Keine News mehr verpassen! Unsere App für iOS und Android mit praktischer Push-Funktion.






Zuletzt kommentiert



 1 Kommentar(e) bisher

  •  Steffen Schlebeck (4. Februar 2015)

    habe ich doch wirklich „… internet explorer 11 …“ gelesen.


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.


You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>