09.12.2003 21:14
Gefälschte URLs im Internet Explorer [Update]
Ein unscheinbarer Fehler des Microsoft-Browsers erleichtert Betrügereien mit gefälschten E-Mails. Der Internet Explorer zeigt URLs in seiner Adressleiste unter Umständen nicht vollständig an, wenn der optionale Benutzername das Zeichen 0x01 enthält. Trickbetrüger nutzen bereits seit einiger Zeit die Möglichkeit, Benutzern eine vertraute URL vorzuspiegeln, indem sie Konstrukte wie http://register.ebay.com@192.168.1.1 verwenden.
Diese URL verweist nicht etwa auf eine eBay-Seite, sondern lädt die Startseite von 192.168.1.1, die dann alle Eingaben des Anwenders mitprotokollieren kann. Wer genau hinschaut, kann den Betrug jedoch an der URL in der Adressleiste erkennen. Der Fehler im Internet Explorer macht solche Betrügereien noch heimtückischer, denn der Benutzer sieht damit unter Umständen nur noch den harmlosen Teil der URL vor dem "@": http://register.ebay.com
Der Fehler tritt bei Internet Explorer 6 mit allen Patches auf, Berichten auf der Mailingliste Bugtraq zufolge sind auch manche 5er Versionen betroffen. Andere Browser zeigen die URL korrekt an. Microsoft hat angekündigt, diesen Monat keine regulären Sicherheits-Updates mehr bereitzustellen, ob ihnen diese Schwachstelle und die anderen bekannten Sicherheitsprobleme des Internet Explorer ein Emergency-Release außerhalb der monatlichen Routine wert sind, ist bisher nicht bekannt. Ob Ihr Browser betroffen ist, können Sie auf dem c't Browsercheck von heise Security testen.
Update:
Entgegen ersten Vermutungen lässt sich die Lücke auch ganz ohne JavaScript ausnutzen. Das bedeutet, dass selbst bei hohen Sicherheitseinstellungen des E-Mail-Programms ein Klick auf einen HTML-Link zu einer Seite führen kann, deren Adresse der Internet Explorer nicht korrekt anzeigt. Die Browsercheck-Demo wurde um eine Variante ohne JavaScript erweitert.
Siehe dazu auch:
(ju)
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
