Ergebnis 1 bis 2 von 2

Thema: Internet Explorer: Datenklau durch zwei Jahre alte Lücke

  1. #1
    Registriert seit
    09.05.2007
    Ort
    NRW
    Beiträge
    12.186

    Internet Explorer: Datenklau durch zwei Jahre alte Lücke

    Eine seit längerem bekannte Lücke im Internet Explorer 8 ermöglicht es Angreifern, durch das Laden von Cascading Style Sheets (CSS) die Same Origin Policy auszutricksen und persönliche Daten ihrer Opfer zu stehlen. Chris Evans aus dem Google-Sicherheitsteam demonstriert dies anschaulich anhand eines Exploits, der es auf Twitter abgesehen hat, aber auf andere Seiten übertragbar ist: Wenn der Besucher der Demo-Seite bei dem Kurznachrichtendienst eingeloggt ist, extrahiert sie sein Authentifizierungs-Token aus einer Twitter-Seite und kann ungehindert in seinem Namen Nachrichten veröffentlichen.

    Die Lücke ist bereits seit rund zwei Jahren bekannt und betraf damals alle wichtigen Browser – scheinbar hat von dem japanischsprachigen Bericht jedoch niemand Notiz genommmen. Erst ein Jahr später, nachdem Evans in seinen Blog auf die Gefahr aufmerksam gemacht hat, haben die Browserhersteller reagiert und ihre Produkte nach und nach abgesichert. Nachdem im Juli zuletzt Mozilla reagiert hat, ist nur noch der Internet Explorer in aktueller Version (und wohl auch älter) auf diese Weise verwundbar. Da der Angriff prinzipiell kein JavaScript erfordert, gibt es für Nutzer des Internet Explorers derzeit keinen wirksamen Schutz.

    Prinzipiell können sich Angreifer durch die Lücke auf allen Seiten bedienen, die es Nutzern erlauben, eigenen Text unterzubringen. Bei dem Twitter-Beispiel genügt etwa ein Tweet mit dem Inhalt {}body{font-family:" – importiert der Angreifer auf seiner Seite den Twitter-Feed als CSS-Datei, kann er aufgrund des fehlertoleranten Parsing des IE Teile des Quelltexts als CSS-Eigenschaft "font-family" auslesen. Zusammen mit drei Studenten der Carnegie Mellon University hat Evans ein ausführliches Paper über die sogenannten Cross-Origin CSS-Angriffe veröffentlicht. (rei)

    Quelle: Heise.de

  2. #2
    Registriert seit
    09.05.2007
    Ort
    NRW
    Beiträge
    12.186
    Internet Explorer: Neue gefährliche Sicherheitslücke

    Für den Internet Explorer von Microsoft ist mal wieder eine kritische Sicherheitslücke bekannt geworden. Besonders tückisch: Die Schwachstelle kann per CSS-Datei ausgenutzt werden.

    So kann es also passieren, dass der Rechner beim bloßen Aufrufen einer entsprechend präparierten Website angegriffen wird. Ein Fehler bei der Verarbeitung des Befehls "@import" kann dazu genutzt werden, um Schadcode auf dem aufrufenden Rechner auszuführen. Im schlimmsten Fall kann so das gesamte System übernommen werden.

    Bislang sind noch keine Fälle bekannt, in denen die Lücke im großen Stil ausgenutzt wird. Da jedoch bereits entsprechender Beispiel-Code bereits im Netz kursiert, dürfte es wohl nur noch eine Frage der Zeit sein, bis zahlreiche dubiose Websites entsprechend präpariert sind.

    Die Lücke betrifft den Internet Explorer 8 für Windows 7, Vista und XP (SP3) sowie den IE 6 und 7 unter XP mit installiertem Service Pack 3. Da Microsoft die Lücke derzeit erst analysiert und der Patchday für Dezember bereits heute ist, dürfte mit einem entsprechenden Sicherheits-Update erst im Januar 2011 zu rechnen sein. (cel)

    Quelle: Chip.de

Ähnliche Themen

  1. 30 Jahre Videotext: Der Mut zur Lücke
    Von Dynamite im Forum Kino, TV & DVD
    Antworten: 2
    Letzter Beitrag: 11.01.2011, 14:29
  2. Antworten: 5
    Letzter Beitrag: 21.01.2010, 21:38
  3. Neuer Exploit nutzt Lücke im Internet Explorer
    Von Dynamite im Forum Computer & Internet
    Antworten: 0
    Letzter Beitrag: 18.02.2009, 12:16
  4. Bilic bleibt für zwei weitere Jahre in Kroatien
    Von News im Forum Fussball International
    Antworten: 0
    Letzter Beitrag: 30.04.2008, 13:22
  5. Zwei Jahre Sperre für 800m-Läuferin Ceplak
    Von News im Forum Leichtathletik
    Antworten: 1
    Letzter Beitrag: 28.03.2008, 10:49