Internet Explorer: Datenklau durch zwei Jahre alte Lücke

[Dynamite]

Eine seit längerem bekannte Lücke im Internet Explorer 8 ermöglicht es Angreifern, durch das Laden von Cascading Style Sheets (CSS) die Same Origin Policy auszutricksen und persönliche Daten ihrer Opfer zu stehlen. Chris Evans aus dem Google-Sicherheitsteam demonstriert dies anschaulich anhand eines Exploits, der es auf Twitter abgesehen hat, aber auf andere Seiten übertragbar ist: Wenn der Besucher der Demo-Seite bei dem Kurznachrichtendienst eingeloggt ist, extrahiert sie sein Authentifizierungs-Token aus einer Twitter-Seite und kann ungehindert in seinem Namen Nachrichten veröffentlichen.

Die Lücke ist bereits seit rund zwei Jahren bekannt und betraf damals alle wichtigen Browser – scheinbar hat von dem japanischsprachigen Bericht jedoch niemand Notiz genommmen. Erst ein Jahr später, nachdem Evans in seinen Blog auf die Gefahr aufmerksam gemacht hat, haben die Browserhersteller reagiert und ihre Produkte nach und nach abgesichert. Nachdem im Juli zuletzt Mozilla reagiert hat, ist nur noch der Internet Explorer in aktueller Version (und wohl auch älter) auf diese Weise verwundbar. Da der Angriff prinzipiell kein JavaScript erfordert, gibt es für Nutzer des Internet Explorers derzeit keinen wirksamen Schutz.

Prinzipiell können sich Angreifer durch die Lücke auf allen Seiten bedienen, die es Nutzern erlauben, eigenen Text unterzubringen. Bei dem Twitter-Beispiel genügt etwa ein Tweet mit dem Inhalt {}body{font-family:" – importiert der Angreifer auf seiner Seite den Twitter-Feed als CSS-Datei, kann er aufgrund des fehlertoleranten Parsing des IE Teile des Quelltexts als CSS-Eigenschaft "font-family" auslesen. Zusammen mit drei Studenten der Carnegie Mellon University hat Evans ein ausführliches Paper über die sogenannten Cross-Origin CSS-Angriffe veröffentlicht. (rei)

Quelle: Heise.de

[Dynamite]

Internet Explorer: Neue gefährliche Sicherheitslücke

Für den Internet Explorer von Microsoft ist mal wieder eine kritische Sicherheitslücke bekannt geworden. Besonders tückisch: Die Schwachstelle kann per CSS-Datei ausgenutzt werden.

So kann es also passieren, dass der Rechner beim bloßen Aufrufen einer entsprechend präparierten Website angegriffen wird. Ein Fehler bei der Verarbeitung des Befehls "@import" kann dazu genutzt werden, um Schadcode auf dem aufrufenden Rechner auszuführen. Im schlimmsten Fall kann so das gesamte System übernommen werden.

Bislang sind noch keine Fälle bekannt, in denen die Lücke im großen Stil ausgenutzt wird. Da jedoch bereits entsprechender Beispiel-Code bereits im Netz kursiert, dürfte es wohl nur noch eine Frage der Zeit sein, bis zahlreiche dubiose Websites entsprechend präpariert sind.

Die Lücke betrifft den Internet Explorer 8 für Windows 7, Vista und XP (SP3) sowie den IE 6 und 7 unter XP mit installiertem Service Pack 3. Da Microsoft die Lücke derzeit erst analysiert und der Patchday für Dezember bereits heute ist, dürfte mit einem entsprechenden Sicherheits-Update erst im Januar 2011 zu rechnen sein. (cel)

Quelle: Chip.de