Sicherheitslücken

06.09.2010 17:02

Alte Lücke im Internet Explorer wird ausgenutzt

Sicherheitslücken Seit rund zwei Jahren existiert im Internet Explorer 8 eine Sicherheitslücke, mit der sich die persönlichen Daten von Nutzern stehlen lassen. Durch das Laden von Cascading Style Sheets (CSS) lässt sich die Same Origin Policy umgehen.

Chris Evans, Mitglied des Google-Sicherheitsteams, hat diese Lücke jetzt demonstriert. Er veröffentlichte einen Exploit, der sich mit dem Mikroblogging-Dienst Twitter beschäftigt, aber auch leicht auf andere Websites übertragbar ist. Besucht man die spezielle Website zu Demonstrationszwecken und ist man gleichzeitig bei Twitter eingeloggt, so kann die Website Nachrichten im Namen des Nutzers bei Twitter veröffentlichen. Dazu klaut sie das Authentifizierungs-Token.


Die Sicherheitslücke ist bereits zwei Jahre alt und betraf ursprünglich alle Browser. Der auf Japanisch geschriebene Bericht fand allerdings kaum Beachtung, weshalb Evans vor einem Jahr in seinem Blog nochmals darauf hinwies. Nahezu alle Browser-Hersteller haben inzwischen reagiert und die Lücke beseitigt, nur der Internet Explorer ist noch verwundbar.

Microsoft hat bislang keine Stellungnahme zu dem Problem veröffentlicht. Einen wirksamen Schutz gibt es nicht, da die verwendeten Technologien essentiell sind und sich nicht deaktivieren lassen.

Michael Diestelberg

Diese Nachricht empfehlen:
Diese Nachricht verlinken:
 
[o1] Boskops am 06.09.10 17:05 Uhr
(+2
standart nachricht seit 10 jahren....nüx neues^^
 
[re:1] oldsqldma am 06.09.10 17:18 Uhr
(+2
@Boskops: Jep, zumal, wenn man weiß wie die Lücke funktioniert, kann man sich sicher sein, daß sie garnicht so gefährlich ist. Immerhin muß der Angreifer schon wissen, was er "auslesen" will. (d.h. er muß die Zieladresse kennen) So eine Lücke kann man höchstens für Statistiken über Facebook & co mißbrauchen.
 
[o5] Kirill am 06.09.10 17:45 Uhr
(-2
Dass man keine wichtigen und schundigen Webseiten gleichzeitig offen haben soll, ist eigentlich ein recht alter Tipp.
 
[re:1] ThreeM am 06.09.10 18:40 Uhr
(+5
@Kirill: Alt und wirkungslos.


Alle Kommentare zu dieser News anzeigen

Schreiben Sie uns Ihre Meinung, bewerten Sie Kommentare oder diskutieren Sie mit anderen WinFuture.de Lesern!

Melden Sie sich jetzt kostenlos an
oder verwenden Sie Ihren bestehenden Zugang.

Beliebte Downloads

Weitere Downloads

Verwandte Videos

Beliebt im Preisvergleich

Sicherheit & Backup Preisvergleich

Neue Nachrichten

Mehr Nachrichten

Beliebte Nachrichten

Videos

  • Neueste
  • Beliebte
  • Empfehlung
Mehr Videos

Michael Diestelberg

Redakteur bei WinFuture

Ich empfehle ...

Michael Diestelberg

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.
WinFuture.mobi

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

Meist kommentierte Nachrichten

Community

  • Neue Kommentare
  • Neue Mitglieder

WinFuture wird gehostet von Artfiles

Artfiles.de

Forum

Zum WinFuture Forum

TechNet Online

Security-Tipps

Inforeihe 'Secure Code': Neues zu Kryptographie und Data Protection API 02.02.2012
Kölscher Abend zu rechtlicher und technischer Sicherheit in der Cloud 17.01.2012
Seit zehn Jahren im Dienst der Sicherheit: Microsofts Trustworthy Computing feiert Jubiläum 13.01.2012
Microsoft-Sicherheitsupdates im Januar 11.01.2012
Sicherheitsupdates Januar 2012 10.01.2012
MSDN Magazin im Dezember 04.01.2012
Out of Band-Sicherheitsbulletin für ASP.NET veröffentlicht 29.12.2011
Ankündigung: Out-of-Band-Sicherheitsbulletin für ASP.NET 29.12.2011
Copyright 2012 & powered by TechNet
Schöpfen Sie Ihr Potenzial aus. Mit TechNet.