Internet Explorer 7: Designfehler wird zur Phishing-Falle

Die Schlagzeilen um unsichere Stellen im neuen Internet Explorer 7 reißen nicht ab. Jetzt hat der israelische Sicherheitsspezialist Aviv Raff zwei weitere Schwachstellen ausfindig gemacht, die sich sehr den zuletzt auch durch einen Designfehler im Firefox aufgetretenen Sicherheitslücken ähneln. Betroffen ist der IE7 unter Windows XP und Vista.

Auch hier geht es um Phishing-Möglichkeiten potenzieller Angreifer, die sich das Verhalten des Microsoft-Browsers zunutze machen. „Die Navigation zu der Webseite wurde abgebrochen“ meldet der Internet Explorer, wenn ein Fehler beim Abbruch der Navigation auftritt.

Raff hat herausgefunden und in einer nun veröffentlichten Demo präsentiert, dass es so mit einem präparierten Link möglich ist, JavaScript in diese lokal vordefinierte Fehlerseite (navcancl.htm) einzuschleusen. Dadurch können Angreifer eigene Inhalte anzeigen. Und weil ein Designfehler dazu führt, dass in der Adresszeile nur die ursprünglich aufgerufene Seite angezeigt wird, wird dem Internet-User eine falsche Herkunft der Domain vorgegaukelt.

Wirklich akut wird das Problem aber erst, wenn der User jetzt in der Fehlerseite den Link „Aktualisieren Sie die Seite“ anklickt. Wird hingegen der Refresh-Button in der Navigationsleiste – wie es sich viele PC-Nutzer angewöhnt haben - bedient, passiert nichts.
Bis zu einer Lösung des Problems empfiehlt der Sicherheitsspezialist Aviv Raff, nicht dem Aktualisierungslink in Fehlermeldungen zu folgen.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben