Internet Explorer: Bug leitet Nutzereingaben in die Webseite um
Der Sicherheitsforscher Manual Caballero hat die Schwachstelle entdeckt und auch an Microsoft gemeldet. In einer Demo zeigt er, wie ein eingebettetes Skript in einer Webseite den Browser dazu bringt, die Eingaben in der Adresszeile auszulesen und direkt auf der Webseite darzustellen. Nutzer können dieses Verhalten auch auf einer Demo-Seite testen.
Aufmerksamkeit hilft bereits
Die Schwachstelle kann von bösartigen Angreifern natürlich auch genutzt werden, um möglicherweise sensible Informationen über den User in Erfahrung zu bringen - immerhin landen in dem Eingabefeld nicht nur Adressen von Webseiten, sondern auch Suchanfragen. Denn es ist natürlich prinzipiell möglich, die abgefangenen Eingaben in Verbindung mit der IP-Adresse oder anderen Identifikationsmerkmalen an einen externen Server weiterzugeben und den Browser trotzdem so reagieren zu lassen, dass dem Anwender nicht auffällt, dass etwas nicht stimmt.Nutzer des Internet Explorers sollten entsprechend vorsichtig agieren, bis ein Patch für den Browser bereitgestellt wird. Grundsätzlich wäre es natürlich am sinnvollsten, auf einen nicht betroffenen Browser zu wechseln - hier bieten sich Chrome und Firefox an, aber auch der Microsoft Edge, der ebenfalls nicht von dem Problem betroffen ist.
Allerdings kommt der Internet Explorer in den meisten Fällen bei Nutzern zum Einsatz, die in Firmennetzen unterwegs sind. Diese haben meist keine Möglichkeit, auf eine Alternative auszuweichen. Hier besteht die einzige Option dann darin, aufmerksam zu sein und keine sensiblen Informationen in die Adresszeile zu schreiben.