Web

 

IE7 - kaum da, schon kaputt

19.10.2006
Eine Schwachstelle im Internet Explorer (IE) 7 soll Angreifern ermöglichen, vertrauliche Informationen einzusehen.

Keine 24 Stunden nach Erscheinen der endgültigen Version haben Sicherheitsexperten ein Leck im IE 7 entdeckt: Laut einem Advisory des dänischen Security-Unternehmens Secunia handelt es sich dabei um eine Schwachstelle, die Angreifer aus der Ferne ausnutzen könnten, um sensible Informationen auszuspionieren. Der Fehler liegt im Bearbeiten von Umleitungen mit "mhtml:"-URLs und betrifft die finale Version des IE 7 auf Windows-XP-Systemen mit Service Pack 2.

Besucht demnach ein IE-7-Nutzer eine manipulierte Web-Seite, kann diese das Sicherheitsleck ausnutzen, um Informationen von einer anderen, sicheren Seite einzusehen, sofern der User zu diesem Zeitpunkt noch woanders eingeloggt ist. Laut Thomas Kristensen, CTO bei Secunia, könnte ein Angreifer so sensible Informationen wie Bankdaten oder Nachrichten von einem Web-Mail-Account einsehen. Phishing-Attacken ließen sich demnach über diese Schwachstelle gut lancieren, so der Technikexperte. Peinlich für Microsoft: Gehört Anti-Phishing-Schutz doch zu den großen Vorzügen, mit denen der Softwarekonzern für den neuen Browser wirbt.

Allerdings stufen die Secunia-Experten die potenzielle Inkontinenz des jüngsten Explorers, unter der schon sein Vorgänger IE6 litt, als "weniger kritisch" ein. Immerhin müssten IE-Nutzer für eine erfolgreiche Attacke erst einmal auf eine bösartige Site gelockt werden. Darüber hinaus müsste der Angreifer wissen, welche andere, sichere Web-Seite das Opfer gleichzeitig geöffnet habe, relativiert Kristensen das Problem.

Secunia hat Microsoft über den Fehler informiert und Proof-of-Concept-Code auf seiner Web-Seite veröffentlicht. Als Gegenmaßnahme empfehlen die Experten, die Unterstützung für Active-Scripting zu deaktivieren. (kf)