IE11: Fehler soll das Auslesen parallel geöffneter Seiten erlauben

Hack, Fehler, Bug, internet explorer 11, ie11 Bildquelle: Deusen
Im Internet Explorer scheint aktuell eine Sicherheitslücke zu klaffen, die es Angreifern möglich machen soll, Webseiten so zu manipulieren, dass sie den Nutzer ausspionieren. Besonders problematisch: Auch parallel geöffnete Seiten sollen komplett ausgelesen werden können.

Öffentlich gemacht ohne Patch

Auf der Suche nach gefährlichen Fehlern sind Sicherheitsexperten vor Kurzem wieder einmal im Internet Explorer 11 fündig geworden. Wie heise in seinem Bericht zu der frisch entdeckten Schwachstelle in Microsofts aktuellem Netzzugangswerkzeug schreibt, könnte es Angreifern auf diesem Weg möglich gemacht werden, den Inhalt von Webseiten so zu manipulieren, dass Nutzer ausspioniert werden können. Fehler im Internet Explorer 11 (Deusen)Der Fehler demonstriert auf einer Testwebseite Das akute Problem: Der Internet Explorer 11 scheint parallel geöffnete Webseiten aktuell nicht genug voneinander abzuschotten. Wie David Leo - der Nutzer, der den Fehler in einer Security-Mailing-Liste öffentlich machte - mitteilt, könnten Angreifer auf Basis der Schwachstelle Webseiten entwickeln, die eine beliebige Manipulation von parallel geöffneten Webseiten erlaubt.

Laut dieser Fehlerbeschreibung lassen sich so prinzipiell auch alle Inhalte auslesen, die Nutzer beispielsweise in einer parallel geöffneten Online-Banking-Session oder von einem E-Mail-Anbieter angezeigt bekommen. Hinter der Universal Cross-Site-Scripting (UXSS) genannten Methode steckt der Ansatz, dass Schadcode aus einer Domäne auf einer Webseite einer anderen Domäne ausgeführt werden kann. Der übliche Schutz scheint in der aktuellen Internet Explorer 11-Version hier aber nicht zu greifen.

Demonstration mit Testseite

David Leo demonstriert die Folgen seiner unerfreulichen Entdeckung mit einer Test-Webseite. Nach einer Bestätigung durch den Nutzer macht es ihm der Fehler so möglich, den Inhalt der danach aufgerufenen Webseite dailymail.co.uk zu manipulieren. Nach sieben Sekunden wird hier der Schriftzug "Hacked by Deusen" angezeigt. heise Security konnte die Schwachstelle in einem eigenen Test mit der IE11-Version 11.0.9600.17501 bestätigen. Ein Sicherheitsupdate hat Microsoft aktuell noch nicht bereitgestellt. Hack, Fehler, Bug, internet explorer 11, ie11 Hack, Fehler, Bug, internet explorer 11, ie11 Deusen
Mehr zum Thema: Internet Explorer
Diese Nachricht empfehlen
Kommentieren5
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Tipp einsenden