Web

 

Microsoft bestreitet Sicherheitsproblem durch Spoofing

03.11.2004

Experten warnen erneut vor einer Spoofing-Lücke im Microsoft-Browser Internet Explorer. So legt der deutsche Sicherheitsspezialist Tobias Franz in der Sicherheits-Mailing-Liste Bugtraq dar, wie sich in der Statuszeile des Internet Explorer der Verweis auf eine andere als die tatsächlich verknüpfte Website anzeigen lässt, wenn mit der Maus über einen Hyperlink gefahren wird.

URL-Spoofing in der Stausleiste: Ist Ihr Browser sicher?

Hier geht es zum Test

Angreifer können das Leck dazu ausnutzen, um Internet-Nutzer auf eine manipulierte Website zu locken. Laut Franz weist neben dem Internet Explorer auch der Mail-Client Outlook Express den Fehler auf. HTML-Mails mit entsprechendem Code könnten Anwender also ebenfalls in die Irre führen und zum Beispiel auf gefälschte Home-Banking-Seiten verweisen.

Das Problem sei bekannt, teilte Microsoft in einem E-Mail-Statement mit. Die Sicherheit der Internet-Explorer-Nutzer sei dadurch jedoch nicht gefährdet. Denn eine Attacke via Spoofing erfordere ein komplexes Konstrukt seitens des Angreifers. So müsse er zunächst das Opfer zum Klick auf einen manipulierten Link verleiten und danach noch vertrauliche Daten abgreifen. Dabei könne das Opfer die besuchten Websites einfach anhand der in der Adressleiste des Browsers eingeblendeten URL kontrollieren.

Der Internet Explorer weist den Fehler nicht auf, wenn das Service Pack 2 für Windows XP eingespielt ist. In einem kurzen Test zeigte die Browser-Alternative Mozilla Firefox in der Version "PR 1.00.10.1" den Fehler ebenfalls - allerdings nur dann, wenn die Verknüpfung in einem neuen Tab oder in einem neuen Fenster geöffnet wird. (lex)