Browser-Sicherheitslücke 03.02.2015, 21:17 Uhr

Malware-Einfallstor im Internet Explorer

Der Internet Explorer 11 unter Windows 7 und 8.1 hat eine Sicherheitslücke die Cross-Site Scripting erlaubt. Dies soll unter anderem ermöglichen, die Sicherheitsfunktionen des Browsers zu umgehen.
Internet Explorer Logo
Im Internet Explorer gibt es eine grössere ungepatchte Schwachstelle, die Angreifern erlaubt, beliebigen Schadcode aus einer (nicht vertrauenswürdigen) externen Domäne auf einer Webseite einer anderen (vertrauenswürdigen) Domäne auszuführen. Betroffen sind mindestens Windows 7 und 8.1 mit dem Internet Explorer 11.
Diese mögliche Malware-Injizierung wird als Universal Cross-Site Scripting (UXSS) bezeichnet. Wenn die Schwachstelle etwa durch einen Exploit ausgenutzt wird, ist die Funktionsweise des Browsers selbst betroffen und eingebaute Sicherheitsfunktionen werden unter Umständen umgangen oder deaktiviert; wie in diesem Fall das Sicherheitskonzept Same-Origin-Policy, das Browsern untersagt auf Objekte von Webseiten anderen Ursprungs zurückzugreifen.
Browser-Schwachstellte: Mit der Webseite von David Leo lässt sich die Sicherheitslücke im Internet Explorer reproduzieren.
Laut Beschreibung der Browser-Lücke wurde der Fehler auf einem System mit Windows 7 und dem Internet Explorer 11 entdeckt. Unser Test-PC mit Windows 8.1 zeigte die Schwachstelle aber ebenfalls. Entdecker der Lücke David Leo hat eine Webseite erstellt, mit der sich die Schwachstelle reproduzieren lässt.
Dazu öffnen Sie diese im Internet Explorer und warten dann bis eine Hinweismeldung erscheint. Nach etwa drei Sekunden bestätigen Sie mit "OK". Anschliessend führen Sie den Test unter "insider3show" mit einem Klick auf "Go" fort. Im ersten Moment wird noch die Webseite dailymail.co.uk angezeigt, danach ersetzt diese allerdings der injizierte Code mit dem Schriftzug "Hacked by Deusen".
Microsoft hat den Fehler bislang noch nicht behoben. Wann dies geschieht, ist noch unklar. Bis dahin ist es empfehlenswert einen anderen Browser wie etwa Firefox oder Chrome zu nutzen.
Artikel drucken
Robert Schanze
Das könnte Sie auch interessieren
Sicherheits-Tipps vor 16 Stunden
Kostenloser Schutz für Smartphones
Mit «Sophos Intercept X for Mobile» gibt es eine Security-App für Smartphones, die kostenlos ist und die Sie nicht mit Ihren privaten Daten zahlen müssen. Alles zur Installation und Nutzung dieser nützlichen Software.
 
vor 16 Stunden
Windows-Tipps vor 1 Tag
Rettung für Windows dank Wiederherstellung
Wenn der PC unter Windows 10 oder 11 Probleme bereitet, dann kann das an Änderungen der Einstellungen oder fehlerhaften Installationen und Updates liegen. Abhilfe schafft oft die Systemwiederherstellung. Unser Artikel zeigt, wie diese funktioniert.
 
vor 1 Tag
Ortung vor 2 Tagen
Geklautes Smartphone führte Polizei zu Dieben
Die Polizei verhaftete zwei Männer in Wohlen. Beide hatten Diebesgut aus unverschlossenen Autos bei sich.
 
vor 2 Tagen
Auszeichnung vor 2 Tagen
Aveniq erreicht Zertifizierung «SAP-certified in SAP security operations»
Aveniq erreicht als erstes Unternehmen in der Schweiz die Zertifizierung «SAP-certified in SAP security operations». Aveniq ist Pilotpartnerin für die neuste SAP-Zertifizierung “SAP security operations”, die ab sofort dem gesamten SAP-Partnernetzwerk offensteht.
 
vor 2 Tagen