Sicherheit
IE gibt Nutzerdaten preis
von
Dorothee
Chlumsky - 30.05.2011
Ein Security-Fachmann macht auf eine Lücke in Internet Explorer aufmerksam. Per "Cookie-Jacking" kann ein Angreifer Login-Daten eines Surfers stehlen: Benutzernamen, Kennwörter oder Anmeldedaten fürs Bankkonto.
Der Sicherheits-Experte Rosario Valotta hat auf einer Konferenz in Amsterdam die Schwachstelle in Internet Explorer vorgestellt. Betroffen sind alle IE-Versionen und alle Windows-Systeme, heißt es in einem Bericht bei eWeek.
Der Fehler liegt in der Art und Weise, wie Internet Explorer mit Cookies umgeht. Webseiten speichern Cookies auf dem Rechner der Person, die die Seite besucht. In den Textdateien finden sich Informationen über das Verhalten des Nutzers auf der Webseite, etwa die Login-Daten, der Inhalt des Einkaufskorbs oder Information über die Seiten, die der Surfer angeklickt hat.
Eine Klickjacking-Technik ermöglicht es dem Angreifer, die Sicherheitshürden zu überwinden, die Microsoft in Internet Explorer eingebaut hat, um geheime Inhalte der Cookies zu schützen. Der Browser gruppiert die Cookies der Webseiten in unterschiedliche Vertrauenswürdigkeits-Stufen. Valotta hat ein Spiel programmiert, das versteckte iFrames nutzt, um die Klicks der Benutzer zu stehlen. Ein Surfer, der das Online-Game spielt, bei dem es darum geht, Objekte per Klicken und ziehen an einen anderen Ort zu bewegen, kopiert in Wirklichkeit Inhalte seiner Cookies an einen anderen Ort. Dort kann der Angreifer sie auslesen. Der Security-Forscher berichtet, er habe ein Test-Spiel auf seiner Facebook-Seite publik gemacht und innerhalb kürzester Zeit Cookie-Inhalte von 80 Rechnern gesammelt.
Microsoft hält das Risiko, dass Surfern auf diese Weise Zugangsdaten gestohlen werden, für gering, weil das Opfer erst das Spiel spielen muss, damit der Hack gelingt. Dennoch hat das Unternehmen angekündigt, die Lücke bald mit einem Update schließen zu wollen.
Der Fehler liegt in der Art und Weise, wie Internet Explorer mit Cookies umgeht. Webseiten speichern Cookies auf dem Rechner der Person, die die Seite besucht. In den Textdateien finden sich Informationen über das Verhalten des Nutzers auf der Webseite, etwa die Login-Daten, der Inhalt des Einkaufskorbs oder Information über die Seiten, die der Surfer angeklickt hat.
Eine Klickjacking-Technik ermöglicht es dem Angreifer, die Sicherheitshürden zu überwinden, die Microsoft in Internet Explorer eingebaut hat, um geheime Inhalte der Cookies zu schützen. Der Browser gruppiert die Cookies der Webseiten in unterschiedliche Vertrauenswürdigkeits-Stufen. Valotta hat ein Spiel programmiert, das versteckte iFrames nutzt, um die Klicks der Benutzer zu stehlen. Ein Surfer, der das Online-Game spielt, bei dem es darum geht, Objekte per Klicken und ziehen an einen anderen Ort zu bewegen, kopiert in Wirklichkeit Inhalte seiner Cookies an einen anderen Ort. Dort kann der Angreifer sie auslesen. Der Security-Forscher berichtet, er habe ein Test-Spiel auf seiner Facebook-Seite publik gemacht und innerhalb kürzester Zeit Cookie-Inhalte von 80 Rechnern gesammelt.
Microsoft hält das Risiko, dass Surfern auf diese Weise Zugangsdaten gestohlen werden, für gering, weil das Opfer erst das Spiel spielen muss, damit der Hack gelingt. Dennoch hat das Unternehmen angekündigt, die Lücke bald mit einem Update schließen zu wollen.
