IE wieder angreifbar

Originalartikel von Rik Ferguson (Senior Security Advisor bei Trend Micro)

Tweet vom Microsoft Security Response Team

Das Microsoft Security Response Team veröffentlichte am Freitag einen interessanten Tweet, dessen Inhalt zu denken gibt: “Wir wissen von einem öffentlich gewordenen Problem mit Internet Explorer und werden der Sache übers Wochenende weiter nachgehen.“ Das klingt sehr geheimnisvoll, denn keine neue Sicherheitslücke ist bekannt.

Der Tweet könnte sich auf die Weiterentwicklung einer Lücke beziehen, die Chris Evans von Google im Dezember letzten Jahres in einem Eintrag auf seinem Scary Beast Security Blog publik gemacht hatte. Der Gedanke liegt nahe, denn Evans hatte ebenfalls am Freitag kurz vor dem Microsoft-Eintrag in einer Nachricht an die Full Disclosure Mailing-Liste von einem Versuch, „diesen Bug zu entfernen“, gesprochen. Und weiter: „ Es gibt eine schlimme Sicherheitslücke im neuen Internet Explorer 8. Leider konnte ich den Hersteller nicht dazu bringen, einen Fix dafür zu veröffentlichen. Der Bug erlaubt es beispielsweise einer beliebigen Website, ein Opfer dazu zu zwingen, Tweets zu verschicken.“ Evans behauptet, man könne davon ausgehen, dass Microsoft diese Lücke seit 2008 kennt und dass derselbe Fehler „wahrscheinlich“ auch frühere Versionen des IE betrifft.

Der Exploit ist darauf ausgerichtet, eigentlich geheime Zugangsdaten zu einer bereits authentifizierten Browser Session, etwa für Twitter, zu stehlen, um diese Daten dazu zu nutzen, eigene Inhalte zu verschicken.

Opera, Chrome, Firefox und Safari haben die Lücke bereits geschlossen. Es bleibt zu hoffen, dass Microsoft dies auch schnell tut, denn mit wachsender Beliebtheit der URL-Shortening-Services ist es einfach, solche Fehler auszunützen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*