Internet Explorer 7: Wie steht es um die Sicherheit?

Seit gestern Abend ist die lang erwartete Internet Explorer 7 Beta 2 Preview öffentlich verfügbar. Wir von WinFuture haben die Freigabe dieser Preview als Anlass gesehen, den neuen Internet Explorer genauer unter die Lupe zu nehmen und in Sachen Sicherheit zu prüfen.

Als Basis für unseren Test diente eine Exploitsammlung, die Exploits zu den bekanntesten Lücken für den Internet Explorer 6 enthält. Mit diesen Exploits fütterten wir nun den Internet Explorer 7, um zu sehen, wie es um die neue Version steht. Bei einem Exploit (engl. to exploit - ausnutzen) handelt es sich um ein Programm oder ein Skript, dass sich eine Schwachstelle bzw. eine Sicherheitslücke zu Nutze macht.

Zuerst standen Denial of Service-Attacken (DoS-Attacken) auf dem Testprogramm. Hier zeigte sich der neue Internet Explorer ziemlich stabil und nur eine Attacke brachte den Browser zum Absturz. Zum Vergleich, bei seinem Vorgänger, dem Internet Explorer 6, resultierten alle fünf durchgeführten Attacken in einem Absturz des Browsers.

Bei dem Exploit, dass dem neuen Internet Explorer noch zu schaffen macht, handelt es sich um ein Javascript, das durch unsachgemäßen und vielfachen Aufruf der Funktion einen Absturz des Browsers herbeiführt.

Auch wenn wir zu diesem Zeitpunkt keinen direkten Vergleich zwischen Internet Explorer 7 und Firefox 1.5 durchführen wollten, war die Neugierde doch sehr groß, wie wohl der Feuerfuchs auf diese DoS-Attacken reagieren würde. Er meisterte alle Attacken allerdings, quittierte er diesen nicht mit einem Neustart und ließ uns die Browsersitzung fortsetzen.


Es wäre an dieser Stelle natürlich vollkommen unverantwortlich, wenn wir davon sprechen würden, dass der Internet Explorer sehr sicher geworden ist. Das lässt sich zu diesem Zeitpunkt nicht sagen und wie man auch bei anderen Anwendungen sieht, gibt es immer wieder Lücken. Uns ging es hierbei viel mehr um schon lange bekannte Lücken, die Microsoft bisher nicht bereit war zu beheben. Dass der Browser nur noch auf einen dieser bekannten Exploits reinfällt ist jedoch ein hoffnungsvolles Zeichen.

Nachdem diese Tests durchgeführt waren, standen als nächstes Spoofing-Attacken auf dem Programm. Nachdem wir jetzt gesehen hatten, dass die wohl bekanntesten DoS-Attacken nicht mehr greifen, glaubten wir, beim Unterjubeln von gefälschen Links ein ähnlich erfreuliches Ergebnis zu bekommen.

Hier wurden wir allerdings sehr enttäuscht. Wir mussten erkennen, dass wir mit den gleichen Mitteln wie schon zu Internet Explorer 6-Zeiten, dem Browser Links zu allen möglichen Seiten vorgaukeln und ein jedes Mal bestimmen konnten, welche Adresse wir dem User anzeigen wollen. Kein Mal enttarnte der Browser unseren Versuch, eine falsche Adresse dem Besucher unterzujubeln, sondern er zeigte immer brav die Adresse an, die wir bestimmten und nicht die wirkliche Adresse, auf die der Verweis zeigte.

Anstatt auf die Seiten von Microsoft zu kommen, wie es die Seite (für Detailansicht auf Bild unterhalb klicken), gelangten wir, ohne dass der Browser es für nötig hielt, die richtige Adresse anzuzeigen und ohne jegliche Warnung des aktivierten Phishingfilters auf WinFuture.de. Es ist immer noch möglich, mit einem Griff in die Trickkiste, dem Anwender, der mit dem Internet Explorer surft, gefälschte Links anzuzeigen.


Auch wenn das Ergebnis des letzten Tests mit den gefälschten Links sehr ernüchternd ist, lässt das Ergebnis unseres Tests mit DoS-Attacken doch Raum für ein wenig Hoffnung. Hoffen wir, dass Microsoft noch einiges am neuen Internet Explorer 7 verändern wird und dass es nicht beim aktuellen Stand der Neuerungen bleibt. Denn damit hätte der bekannte Browser zwar viele optische Neuerungen bekommen, in Sachen Sicherheit wäre aber vieles zum Leid der Anwender beim Alten geblieben.

Erklärung: Exploit | Denial of Service (DoS) | Spoofing

Download: IE7B2P-WindowsXP-x86-enu.exe (11,2 Mb; englisch)