28.01.2012
Sicherheit
Microsoft ignoriert XSS-Lücke im IE
Autor: com! professional
Microsofts Internet Explorer ruft trotz Warnungen von Sicherheitsexperten Web-Adressen immer noch nicht korrekt auf. Dadurch könnten Hacker den IE-Nutzer auf andere Webseiten leiten und diese beispielsweise für Phishing-Angriffe nutzen.
Rob Rachwald, Experte beim Sicherheitsanbieter Imperva, warnt im Blog des Unternehmens vor einer Sicherheitslücke im Internet Explorer. Sie ermöglicht Angreifern XSS-Attacken (Cross-Site-Scripting). Dadurch könnten potentielle Opfer über manipulierte Web-Links auf andere Web-Seiten gelockt werden, was wiederum Phishing-Angriffe ermöglicht.
Laut Rachwald liegt das Problem darin, dass der Internet-Explorer die Anführungszeichen in Teilen der Web-Adresse nicht richtig kodiert. Laut RFC 3986 ist der URI-Syntax so definiert, dass Anführungszeichen als „%22“ umgeschrieben werden müssen. Der Internet-Explorer unterlässt dies bei doppelten Anführungszeichen in Abfragezeichenketten, die mit einem Fragezeichen beginnen. Aus beispielsweise example.com/Sea“rch.asp?q"="b" wird beim Internet Explorer example.com/Sea%22rch.asp?q"="b". Das erste Anführungszeichen wird richtig als „%22“ kodiert, die anderen Anführungszeichen werden nicht geändert. Über diesen Fehler lassen sich dann andere URLs aufrufen und es ist möglich Javascript-Code starten. Der Benutzer klickt auf eine vermeintlich sichere URL, landet aber auf einer ganz anderen Seite. Wenn diese so gestaltet ist wie die erwartete Seite, gibt er hier vielleicht Benutzernamen, Passwörter oder andere persönliche Informationen ein („Phishing“).
Der Experte hat nach eigenen Angaben Microsoft bereits über das Problem informiert. Microsofts Reaktion klingt beschwichtigend. Demnach sei ein Sicherheits-Update kurzfristig nicht erforderlich. Der Konzern will allerdings prüfen, ob der Fehler in künftigen Versionen behoben werden soll. Der Imperva-Experte Rachwald sieht das anders, da die Sicherheitslücke seines Wissens nach bereits für Angriffe ausgenutzt wird. Davon waren ausschließlich Nutzer des Internet Explorers betroffen. Firefox und Chrome kodieren die doppelten Anführungszeichen in den URLs standardgemäß.
Cyberbedrohungen überall
IT-Sicherheit unter der Lupe
Cybersecurity ist essentiell in der IT-Planung, doch Prioritätenkonflikte und die Vielfalt der Aufgaben limitieren oft die Umsetzung. Das größte Sicherheitsrisiko bleibt der Mensch.
>>
Glasfasernetz
GlobalConnect stellt B2C-Geschäft in Deutschland ein
Der Glasfaseranbieter GlobalConnect will sich in Deutschland künftig auf das B2B- und das Carrier-Geschäft konzentrieren und stoppt die Gewinnung von Privatkunden mit Internet- und Telefonanschlüssen.
>>
WebGPU
Sicherheitslücke in Browser-Schnittstelle erlaubt Rechnerzugriff via Grafikkarte
Forschende der TU Graz waren über die Browser-Schnittstelle WebGPU mit drei verschiedenen Seitenkanal-Angriffen auf Grafikkarten erfolgreich. Die Angriffe gingen schnell genug, um bei normalem Surfverhalten zu gelingen.
>>
Untersuchung
Amerikaner sehen KI als Risiko für Wahlen
Die Unterscheidung zwischen echten Infos und KI-Inhalten fällt vielen politisch interessierten US-Amerikanern schwer, wie eine Studie des Polarization Research Lab zeigt.
>>