heise online › News › 2009 › KW 48 › Sicherheitsfunktion des Internet Explorer 8 unsicher
25.11.2009 11:58
Sicherheitsfunktion des Internet Explorer 8 unsicher
Der im Internet Explorer 8 eingeführte Cross-Site-Scripting-Schutz soll Berichten zufolge Schwachstellen enthalten, die eigentlich nicht verwundbare Webseiten doch verwundbar machen. Angreifer könnten auf diese Weise etwa eigenen JavaScript-Code in eine HTML-Seite einschleusen und im Kontext der normalerweise sicheren Seite ausführen. Damit ließen sich etwa Cookies auslesen oder vom Opfer ungewollt Kommentare in Foren posten – Beispiele für XSS-Würmer gab es in der Vergangenheit genug. Microsoft soll bereits seit mehreren Monaten über das Problem informiert sein, bislang aber nicht reagiert haben.
Über die Ursache des Problems gibt es keine genauen Angaben. Laut Giorgio Maone, Entwickler des Firefox-Plug-ins NoScript, soll es sich um einen fundamentalen Designfehler handeln. Maone hat zusammen mit anderen Entwicklern verschiedene XSS-Schutzfunktionen in Browsern analysiert und ist dabei nach eigenen Angaben auf das Problem gestoßen. Gegenüber heise Security erklärte er jedoch, seine Informationen erst bei Verfügbarkeit einer Lösung veröffentlichen zu wollen. Es sei aber mit Kenntnis der Funktionsweise des XSS-Filters des IE8 nicht schwer, das Problem zu rekonstruieren.
Anders als NoScript filtert der XSS-Schutz des Internet Explorer 8 nicht die Requests des Clients nach verdächtigem Code, sondern die Antwort des Servers – und verändert sie unter Umständen. Dies lässt sich von Angreifer offenbar ausnutzen, um die Antwort des Servers zu manipulieren und eigenen Code einzuschleusen. Allerdings muss man nach Angaben von Maone eine gewisse Kontrolle über den Inhalt der Seite haben, die das Opfer aufgerufen hat. Dies ist etwa auf Social-Networking-Seiten, in Foren, Wikis und prinzipiell auch bei Google Apps der Fall. Google schaltet aber den XSS-Schutz des Internet Explorer durch Senden des Header X-XSS-Protection: 0 ab und ist somit nicht betroffen. Berichten zufolge hat Google diese Maßnahme aus Sicherheitsgründen ergriffen, da man von der IE-Schwachstelle bereits wisse und Anwender schützen wolle, bis Microsoft einen Patch herausgegeben habe.
Siehe dazu auch:
(dab)Version zum Drucken | Per E-Mail versenden | Newsletter abonnieren
Themen-Forum Schwachstellen
English version: Security feature of Internet Explorer 8 unsafe
heise Security
Spionage auf Blackberry-Geräten
Der Sicherheitsdienstleister SMobile hat untersucht, wie effektiv die Sicherheitsfunktionen arbeiten und wie aussagekräftig Warnungen sind, damit ein Anwender eine richtige Entscheidung treffen kann.
mehr…
Kaputt gekürzt
Beim Klick auf die Kurz-URLs von Bit.ly & Co weiß man nicht wo man landet. Die nächste Generation geht sogar noch einen Schritt weiter.
mehr…
SSL für lau
Der israelische Anbieter StartSSL bietet kostenlose SSL-Serverzertifikate an, die immerhin ein Jahr gültig sind. Der Artikel zeigt, wie man ein Zertifikat für seine Domain dort beantragt und im Server installiert.
mehr…
Alerts
- Weiterhin Lücken trotz Microsofts Riesen-Patch-Serie
- Kritische Lücke in Novell NetStorage
- Schwachstelle in Samba ermöglicht Zugriff auf Dateien [Update]
- Oracle patcht außer der Reihe
- Microsoft bestätigt neue Lücke im Internet Explorer [Update]
News
ONLINE MARKT
Werbung
