Spoofing-Lücke im Internet Explorer
Eine sogenannte Spoofing-Schwachstelle im Internet Explorer könnte Phishern unter Umständen die Arbeit wesentlich erleichtern.
So zumindest berichtet der Sicherheitsspezialist Hai Nam Luke von einer Race Condition in Microsofts Browser, bei der Angreifer über präparierte Flash-Dateien, wieder einmal swf, beliebige Adressen in die Adress- und Titelzeilen einblenden können. Damit ließe sich dann einem Opfer ein echter Server vorgaukeln. Einzig in der Statusleiste ist die echte Herkunft der Seite zu erkennen. Erfahrungsgemäß schauen dort aber leider die wenigsten Anwender hin.
Der Sicherheitsdienstleister Secunia stellt eine Demo auf seinen Seiten zur Verfügung, die das Problem ein wenig verdeutlicht. Die Schwachstelle wurde für den Internet Explorer 6 unter Windows XP mit SP1 und auch SP2 bestätigt. Andere Versionen könnten aber ebenfalls betroffen sein. Ein Patch ist... wie immer nicht verfügbar. Abhilfe schafft derzeit nur das Abschalten von Active Scripting.
Die Lücke basiert nach Angaben von Nam Luke auf dem unvollständigen Laden von Inhalten in dasselbe Browserfenster mittels der JavaScript-Funktion window.open(). Dabei wird dann die window.location nicht ordnungsgemäß gesetzt, sodass der neue Inhalt mit falscher URL angezeigt wird.
Und wer meint, dasses nur ein IE-Prob ist, dem sei gesagt: Eine ähnliche Race Condition gab es vor einiger Zeit auch in Mozilla. Dabei wurde Skript-Code nicht im Sicherheitskontext der Seite ausgeführt, von der er geladen wurde, sondern im Kontext der vorhergehenden Seite.
Siehe dazu auch:
Another Internet Explorer Address Bar Spoofing Vulnerability, Fehlerbericht von Hai Nam Luke
Quelle: http://www.heise.de