Der Sicherheitsexperte
Michael Zalewski hat schwere Sicherheitslücken im
Internet Explorer und
Firefox 2.0 aufgedeckt. Microsoft hat ein Update für den Internet Explorer zum
Patchday am kommenden Dienstag, 12. Juni, angekündigt und könnte diese Schwachstelle schließen. Von Mozilla gibt es noch keine Informationen.
Bösartige Scripts
Durch die neuen Sicherheitsprobleme stehen Hackern viele Wege offen, bösartige Javascript-Codes auf angegriffenen PCs ausführen zu lassen. Im Internet Explorer 6 und 7 werden Befehle von einer Seite x angenommen, die Inhalte und Cookies von Seite y verändern und auslesen. So kann ein bösartiger Code über scheinbar harmlose Websites eingeschleust werden.
Auch beim Firefox 2.0 sind neue Probleme aufgetreten. Durch eine Lücke im Iframe können gefährliche Codes über ein legitime Webseite ausgeführt und Keylogger installiert werden. Im Gegensatz zum Internet Explorer lässt sich jedoch über die Adresszeile erkennen, dass die neue Seite nur in einem Iframe von der alten Adresse aus geladen wurde. Bereits im vergangenen Jahr war ein ähnliches Sicherheitsproblem bei Mozilla aufgefallen, konnte aber offenbar nicht komplett gelöst werden. Das Problem wird von Zalewski als "schwerwiegend" eingestuft.
Eine weitere Lücke kann durch Focus und Blur-Befehle dazu führen, dass unter Firefox nicht autorisierte Downloads durchgeführt werden. Die obligatorische Sicherheitsabfrage wird umgangen. Im Internet Explorer 6 ist es möglich, die URL-Zeile zu manipulieren. Webseiten können somit eine beliebige Domain anzeigen und die wahre Adresse verschleiern. Beim Internet Explorer 7 funktioniert das jedoch nicht. Beide Lücken stuft Zalewski bei der Gefährlichkeit als "mittel" ein.
Microsoft wie auch die
Mozilla-Foundation sind über die Sicherheitsprobleme umfassend informiert.
Stefan Hagedorn
Meldung empfehlen
News
