IE11: Fehler soll das Auslesen parallel geöffneter Seiten erlauben
Im Internet Explorer scheint aktuell eine Sicherheitslücke zu klaffen, die es Angreifern möglich machen soll, Webseiten so zu manipulieren, dass sie den Nutzer ausspionieren. Besonders problematisch: Auch parallel geöffnete Seiten sollen komplett ausgelesen werden können.
Der Fehler demonstriert auf einer Testwebseite
Das akute Problem: Der Internet Explorer 11 scheint parallel geöffnete Webseiten aktuell nicht genug voneinander abzuschotten. Wie David Leo - der Nutzer, der den Fehler in einer Security-Mailing-Liste öffentlich machte - mitteilt, könnten Angreifer auf Basis der Schwachstelle Webseiten entwickeln, die eine beliebige Manipulation von parallel geöffneten Webseiten erlaubt.
Laut dieser Fehlerbeschreibung lassen sich so prinzipiell auch alle Inhalte auslesen, die Nutzer beispielsweise in einer parallel geöffneten Online-Banking-Session oder von einem E-Mail-Anbieter angezeigt bekommen. Hinter der Universal Cross-Site-Scripting (UXSS) genannten Methode steckt der Ansatz, dass Schadcode aus einer Domäne auf einer Webseite einer anderen Domäne ausgeführt werden kann. Der übliche Schutz scheint in der aktuellen Internet Explorer 11-Version hier aber nicht zu greifen.
Öffentlich gemacht ohne Patch
Auf der Suche nach gefährlichen Fehlern sind Sicherheitsexperten vor Kurzem wieder einmal im Internet Explorer 11 fündig geworden. Wie heise in seinem Bericht zu der frisch entdeckten Schwachstelle in Microsofts aktuellem Netzzugangswerkzeug schreibt, könnte es Angreifern auf diesem Weg möglich gemacht werden, den Inhalt von Webseiten so zu manipulieren, dass Nutzer ausspioniert werden können.Der Fehler demonstriert auf einer Testwebseite
Das akute Problem: Der Internet Explorer 11 scheint parallel geöffnete Webseiten aktuell nicht genug voneinander abzuschotten. Wie David Leo - der Nutzer, der den Fehler in einer Security-Mailing-Liste öffentlich machte - mitteilt, könnten Angreifer auf Basis der Schwachstelle Webseiten entwickeln, die eine beliebige Manipulation von parallel geöffneten Webseiten erlaubt.
Laut dieser Fehlerbeschreibung lassen sich so prinzipiell auch alle Inhalte auslesen, die Nutzer beispielsweise in einer parallel geöffneten Online-Banking-Session oder von einem E-Mail-Anbieter angezeigt bekommen. Hinter der Universal Cross-Site-Scripting (UXSS) genannten Methode steckt der Ansatz, dass Schadcode aus einer Domäne auf einer Webseite einer anderen Domäne ausgeführt werden kann. Der übliche Schutz scheint in der aktuellen Internet Explorer 11-Version hier aber nicht zu greifen.
Demonstration mit Testseite
David Leo demonstriert die Folgen seiner unerfreulichen Entdeckung mit einer Test-Webseite. Nach einer Bestätigung durch den Nutzer macht es ihm der Fehler so möglich, den Inhalt der danach aufgerufenen Webseite dailymail.co.uk zu manipulieren. Nach sieben Sekunden wird hier der Schriftzug "Hacked by Deusen" angezeigt. heise Security konnte die Schwachstelle in einem eigenen Test mit der IE11-Version 11.0.9600.17501 bestätigen. Ein Sicherheitsupdate hat Microsoft aktuell noch nicht bereitgestellt.
Thema:
Neue Downloads zum Thema
Videos zum Thema
Beiträge aus dem Forum
Interessante Links & Themenseiten
Beliebte Windows 8 FAQ Einträge
Neue Nachrichten
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- Ryzen-CPUs: AMD killt RAM-Verschlüsselung - und rudert jetzt zurück
- Windows 11 26H2: Microsoft veröffentlicht allererste Vorschau-Version
- Apple M6-Prozessoren: TSMC liefert erste 2nm-Chips für neue Macs
- Windows 11 26H2: Microsoft kündigt nächste OS-Version offiziell an
- VW ID.3 Neo GTI: Erlkönig des neuen Elektro-GTI wurde gesichtet
- Prime Day: Bei Amazon starten schon jetzt tolle Saugroboter-Deals
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen