Malware-Einfallstor im Internet Explorer

Im Internet Explorer gibt es eine größere ungepatchte Schwachstelle, die Angreifern erlaubt, beliebigen Schadcode aus einer (nicht vertrauenswürdigen) externen Domäne auf einer Webseite einer anderen (vertrauenswürdigen) Domäne auszuführen. Betroffen sind mindestens Windows 7 und 8.1 mit dem Internet Explorer 11.

Diese mögliche Malware-Injizierung wird als Universal Cross-Site Scripting (UXSS) bezeichnet. Wenn die Schwachstelle etwa durch einen Exploit ausgenutzt wird, ist die Funktionsweise des Browsers selbst betroffen und eingebaute Sicherheitsfunktionen werden unter Umständen umgangen oder deaktiviert; wie in diesem Fall das Sicherheitskonzept Same-Origin-Policy, das Browsern untersagt auf Objekte von Webseiten anderen Ursprungs zurückzugreifen.

Laut Beschreibung der Browser-Lücke wurde der Fehler auf einem System mit Windows 7 und dem Internet Explorer 11 entdeckt. Unser Test-PC mit Windows 8.1 zeigte die Schwachstelle aber ebenfalls. Entdecker der Lücke David Leo hat eine Webseite erstellt, mit der sich die Schwachstelle reproduzieren lässt.

Dazu öffnen Sie diese im Internet Explorer und warten dann bis eine Hinweismeldung erscheint. Nach etwa drei Sekunden bestätigen Sie mit "OK". Anschließend führen Sie den Test unter "insider3show" mit einem Klick auf "Go" fort. Im ersten Moment wird noch die Webseite dailymail.co.uk angezeigt, danach ersetzt diese allerdings der injizierte Code mit dem Schriftzug "Hacked by Deusen".

Microsoft hat den Fehler bislang noch nicht behoben. Wann dies geschieht, ist noch unklar. Bis dahin ist es empfehlenswert einen anderen Browser wie etwa Firefox oder Chrome zu nutzen.