Lücke im Internet Explorer erlaubt Datenspionage

Die Funktion fireEvent() können Webentwickler im Browser nutzen, um eigene Ereignisse auszulösen und jederzeit die Cursor-Position abzufragen. Das britische Webanalyseunternehmen Spider.io berichtet, dass diese Funktion beim Internet Explorer 6 bis 10 dazu genutzt werden kann, die Position der Maus auch außerhalb des Browserfensters zu ermitteln. Angreifer könnten darüber die Eingaben in virtuellen Tastaturen aufzuzeichnen. Virtuelle Tastaturen sind per Maus bedienbar und sollen eigentlich vor Keyloggern schützen. Wenn ein Angreifer es geschickt anstellt, kann er aber den Internet Explorer zu eine Art „Maus-Logger“ umfunktionieren.

Ein anderes Anwendungsgebiet ist die Beobachtung des Benutzerverhaltens. Offenbar benutzen Werbetreibende oder Unternehmen, die die Sichtbarkeit von Werbung analysieren, das Verhalten des Internet Explorers für ihre Zwecke. Das könnte auch erklären, warum ausgerechnet eine Firma, die sich mit der Website-Analyse beschäftigt, den IE-Fehler veröffentlicht hat.

Nach Ansicht von Microsoft geht es eher um den Konkurrenzkampf zwischen Analyse-Dienstleistern, als um eine Sicherheitslücke. Die einzige Firma, die offenbar das Verhalten des Internet Explorers ausnutzt, ist ein Mitbewerber von Spider.io. Microsoft sieht zurzeit nur ein geringes Risiko für die IE-Nutzer, will das Problem aber weiter untersuchen und wohl auch beseitigen.