Sicherheit

Microsoft ignoriert XSS-Lücke im IE

von - 28.01.2012
Microsoft ignoriert XSS-Lücke im IE
Microsofts Internet Explorer ruft trotz Warnungen von Sicherheitsexperten Web-Adressen immer noch nicht korrekt auf. Dadurch könnten Hacker den IE-Nutzer auf andere Webseiten leiten und diese beispielsweise für Phishing-Angriffe nutzen.
Rob Rachwald, Experte beim Sicherheitsanbieter Imperva, warnt im Blog des Unternehmens vor einer Sicherheitslücke im Internet Explorer. Sie ermöglicht Angreifern XSS-Attacken (Cross-Site-Scripting). Dadurch könnten potentielle Opfer über manipulierte Web-Links auf andere Web-Seiten gelockt werden, was wiederum Phishing-Angriffe ermöglicht.
Laut Rachwald liegt das Problem darin, dass der Internet-Explorer die Anführungszeichen in Teilen der Web-Adresse nicht richtig kodiert. Laut RFC 3986 ist der URI-Syntax so definiert, dass Anführungszeichen als „%22“ umgeschrieben werden müssen. Der Internet-Explorer unterlässt dies bei doppelten Anführungszeichen in Abfragezeichenketten, die mit einem Fragezeichen beginnen. Aus beispielsweise example.com/Sea“rch.asp?q"="b" wird beim Internet Explorer example.com/Sea%22rch.asp?q"="b". Das erste Anführungszeichen wird richtig als „%22“ kodiert, die anderen Anführungszeichen werden nicht geändert. Über diesen Fehler lassen sich dann andere URLs aufrufen und es ist möglich Javascript-Code starten. Der Benutzer klickt auf eine vermeintlich sichere URL, landet aber auf einer ganz anderen Seite. Wenn diese so gestaltet ist wie die erwartete Seite, gibt er hier vielleicht Benutzernamen, Passwörter oder andere persönliche Informationen ein („Phishing“).
Der Experte hat nach eigenen Angaben Microsoft bereits über das Problem informiert. Microsofts Reaktion klingt beschwichtigend. Demnach sei ein Sicherheits-Update kurzfristig nicht erforderlich. Der Konzern will allerdings prüfen, ob der Fehler in künftigen Versionen behoben werden soll. Der Imperva-Experte Rachwald sieht das anders, da die Sicherheitslücke seines Wissens nach bereits für Angriffe ausgenutzt wird. Davon waren ausschließlich Nutzer des Internet Explorers betroffen. Firefox und Chrome kodieren die doppelten Anführungszeichen in den URLs standardgemäß.
Verwandte Themen