Web

Microsoft sichert Internet Explorer gegen URL-Spoofing

30.01.2004

MÜNCHEN (COMPUTERWOCHE) - Microsoft hat einen Patch angekündigt, der eine als "URL-Spoofing" bekannte Sicherheitslücke im Internet Explorer (IE) beseitigen soll (Computerwoche online berichtete). Dabei können Angreifer Anwendern über eine manipulierte Internet-Adresse den Besuch einer vertrauenswürdigen Website vorgaukeln.

Dazu wird die Adresse der Site, auf die tatsächlich verlinkt wird, durch ein "@"-Zeichen von der Adresse getrennt, die in der Adressleiste des Browsers angezeigt werden soll. In einem entsprechender Link ist etwa folgendes Adresskonstrukt verzeichnet: "www.microsoft.com%01%00@fakeadress.de". Obwohl in diesem Fall die Adresszeile des IE den Besuch von Microsoft.com anzeigen würde, befände sich der Anwender in Wahrheit auf Fakeadress.de. Bei entsprechender Gestaltung der Site ließen sich dann zum Beispiel Schadroutinen über vireninfizierte Download-Angebote verbreiten.

Hinter der Sicherheitslücke verbirgt sich eine Funktion, über die sich durch "@"-Zeichen abgetrennt Benutzerkennungen und Passwörter an Web-Seiten übertragen lassen (nach dem Schema "http://username:password@www.mysite.de). Der Vorteil: Wer seine Zugangsdaten in Links einbaut, spart sich beim Zugriff auf passwortgeschützte Seiten das Ausfüllen einer Dialogbox und kann unmittelbar auf die Inhalte zugreifen. Laut Microsoft wird diese Funktion vor allem in Firmennetzen häufig genutzt.

Der angekündigte Patch, dessen genaues Erscheinungsdatum noch nicht bekannt ist, beseitigt diese Möglichkeit. Wird dann auf eine durch "@" erweiterte Internet-Adresse zugegriffen, soll der IE eine Fehlermeldung ausgeben.

Das URL-Spoofing ist nicht zu verwechseln mit dem Datei-Spoofing, vor dem der dänische Sicherheitsdienstleister Secunia warnt (Computerwoche online (Computerwoche online berichtete). Dabei lassen sich mittels gefälschter Class-IDs, die in einen Download-Link integriert werden, HTML-Dateien mit integrierten Schadroutinen zum Beispiel als PDF-Dateien tarnen, die als sicher gelten.

Secunia hat Testseiten bereitgestellt, auf denen sich sowohl das URL-Spoofing als auch das Datei-Spoofing testen lässt.

Alternative Browser wie Mozilla weisen die Sicherheitslücken nicht auf. Zwar leitet Mozilla bei manipulierten Links auch auf die verzeichnete Web-Adresse um, zeigt jedoch den vollständigen Link inklusive "@"-Anhängsel in der Adresszeile an. Auch gegen gefälschte Downloads ist der Browser immun und stellt korrekt HTML als Erweiterung dar. (lex)

Diskutieren Sie über Ihre Erfahrungen mit Viren, Sicherheitslücken und Datenklau im "Forum: IT-Sicherheit".