Nach dem Alert der US-Regierung weist der IE6 einen so genannten Cross-Domain-Scripting-Fehler auf, der es Angreifern ermöglicht, sich unauthentisiert Zugriff auf Website-Inhalte in einer anderen Domain zu verschaffen. Microsofts IE nutzt ein Domain-übergreifendes Sicherheitsmodell, um Browser-Frames, die auf unterschiedliche Domains zugreifen, voneinander abzuschotten. Diese Trennung soll verhindern, dass Code in einer Domain auf in einer anderen Domäne befindliche Daten zugreift. In der Version 6 des IE lassen sich diese Schutzmaßnahmen offenbar umgehen, indem eine Page-Location mit Hilfe eines Objekts anstelle eines Strings modifiziert wird. Proof-of-Concept-Code, der die Schwachstelle demonstriert, ist der Warnung zufolge bereits öffentlich verfügbar.
Ausnutzen lässt sich die in ihrer Auswirkung dem Cross-Site-Scripting ähnliche Schwachstelle laut US-Cert, wenn ein Nutzer ein manipuliertes HTML-Dokument (etwa eine Web-Seite oder eine E-Mail) ansieht. Bis ein Patch für den Bug verfügbar ist, empfiehlt das US-Cert, entweder "Active Scripting" im IE6 zu deaktivieren, oder gleich auf Version 7 des Microsoft-Browsers umzusteigen. Letzterer ist nach dem derzeitigen Kenntnisstand nicht von der Schwachstelle betroffen, teilt auch das dänische Sicherheitsunternehmen Secunia in einem Advisory mit.
McAfee-Analyst Yichong Lin geht davon aus, dass es sich bei dem Bug um eine Variante einer Schwachstelle handelt, die die beiden Sicherheitsexperten Manuel Caballero und Fukami im Mai auf Microsofts Sicherheitskonferenz BlueHat vorstellten. Dort berichtete Caballero, der als unabhängiger Penetrations-Tester für Microsoft tätig war, über eine Methode, mit der sich jede Browser-Aktion - inklusive Tastaturanschläge etwa bei der Eingabe von Passwörtern - erfassen lässt. (kf)
