Security

Schwere Sicherheitslücken in Internet-Browsern

Neue Sicherheitsprobleme sind für den Internet Explorer und Firefox aufgetaucht. Demnach können beispielsweise gefährliche Inhalte ungefragt aus dem Netz geladen werden.

08.06.2007, 13:11 Uhr
Datenaustausch© violetkaipa / Fotolia.com

Der Sicherheitsexperte Michael Zalewski hat schwere Sicherheitslücken im Internet Explorer und Firefox 2.0 aufgedeckt. Microsoft hat ein Update für den Internet Explorer zum Patchday am kommenden Dienstag, 12. Juni, angekündigt und könnte diese Schwachstelle schließen. Von Mozilla gibt es noch keine Informationen.
Bösartige Scripts
Durch die neuen Sicherheitsprobleme stehen Hackern viele Wege offen, bösartige Javascript-Codes auf angegriffenen PCs ausführen zu lassen. Im Internet Explorer 6 und 7 werden Befehle von einer Seite x angenommen, die Inhalte und Cookies von Seite y verändern und auslesen. So kann ein bösartiger Code über scheinbar harmlose Websites eingeschleust werden.
Auch beim Firefox 2.0 sind neue Probleme aufgetreten. Durch eine Lücke im Iframe können gefährliche Codes über ein legitime Webseite ausgeführt und Keylogger installiert werden. Im Gegensatz zum Internet Explorer lässt sich jedoch über die Adresszeile erkennen, dass die neue Seite nur in einem Iframe von der alten Adresse aus geladen wurde. Bereits im vergangenen Jahr war ein ähnliches Sicherheitsproblem bei Mozilla aufgefallen, konnte aber offenbar nicht komplett gelöst werden. Das Problem wird von Zalewski als "schwerwiegend" eingestuft.
Eine weitere Lücke kann durch Focus und Blur-Befehle dazu führen, dass unter Firefox nicht autorisierte Downloads durchgeführt werden. Die obligatorische Sicherheitsabfrage wird umgangen. Im Internet Explorer 6 ist es möglich, die URL-Zeile zu manipulieren. Webseiten können somit eine beliebige Domain anzeigen und die wahre Adresse verschleiern. Beim Internet Explorer 7 funktioniert das jedoch nicht. Beide Lücken stuft Zalewski bei der Gefährlichkeit als "mittel" ein.
Microsoft wie auch die Mozilla-Foundation sind über die Sicherheitsprobleme umfassend informiert.

(Stefan Hagedorn)

Kommentieren Forum

Dieser Artikel wurde noch nicht kommentiert. Schreiben Sie uns Ihre Meinung!

Zum Seitenanfang