computerwoche.de

Web

Neue Lecks im IE und Gefahren beim Tabbed Browsing

21.10.2004
Experten haben zwei neue Lecks im Internet Explorer entdeckt. Doch auch alternative Browser wie Mozilla lassen Datenspionage zu.

Ob Mozilla, Firefox, Opera oder der KDE-Browser "Konqueror" - alle Browser ermöglichen den unbefugten Zugriff auf lokal gespeicherte Daten, warnen die Experten des IT-Sicherheitsdienstleisters Secunia. Auch in Microsofts Internet Explorer (IE) haben sie neue Schwachstellen entdeckt.

Risiko Tabbed Browsing: Eine Seite im Hintergrund fragt sensible Daten ab, die jedoch an den aktiven Tab übergeben werden.

Der IE weist zwei Lecks auf. Zum einen wird in Multimedia-Dateien eingebetteter Code unzureichend überprüft. Dadurch ist es möglich, über Drag-and-Drop-Aktionen auf Websites vorgehaltene Schadroutinen mit den schwächeren Sicherheitseinstellungen für "Lokales Intranet" auszuführen. Außerdem lassen sich die Sicherheitseinstellungen des Service Pack 2 für Windows XP umgehen, da die Sicherheitszonen im Zusammenhang mit dem HTML-Help-Control mangelhaft abgegrenzt werden. Um das Leck auszunutzen, bindet ein Angreifer das Control in eine HTML-Seite ein und referenziert eine speziell vorbereitete Index-Datei mit der Extension ".hhk". Auf diese Weise lassen sich HTML-Dateien lokal ausführen, heißt es in einem Security Advisory. Die Experten empfehlen, Active Scripting zu deaktivieren.

Bei den anderen Browsern erweist sich laut Secunia die ansonsten nützliche Funktion "Tabbed Browsing" als risikobehaftet. Tabbed Browsing ermöglicht es, mehrere Web-Seiten parallel in einem Anwendungsfenster zu öffnen. Problematisch ist es, wenn eine Seite in einem neuen Tab im Hintergrund geöffnet wird, die über eine Popup-Box unter Umständen sensible Daten, wie zum Beispiel ein Passwort für einen Web-Mail-Account oder eine Banking-Seite abfragt. Die Box schiebt sich nämlich auch dann in den Vordergrund, wenn der zugehörige Tab nicht aktiv ist. Die eingegebenen Daten werden aber nicht an die Seite im Hintergrund, sondern an die im aktiven Tab angezeigte übergeben und landen somit bei unbefugten Dritten. Secunia hat eine entsprechende Testseite zur Verfügung gestellt.

Das Szenario funktioniert auch ohne Dialogbox. In einem zweiten Test wird demonstriert, wie eine im Hintergrund geöffnete Seite Dateneingaben auf der aktiven Seite an eigene Dialogfelder umleitet. Auch dabei landen Daten bei unbefugten Dritten.

Das KDE-Team hat das Problem mit dem Update auf Konqueror 3.3 behoben, das seit Dienstag verfügbar ist. Mozilla will den Bug spätestens mit dem Final Release von Firefox 1.0 beseitigen, das voraussichtlich in den kommenden Wochen erscheint. Opera gab bislang keine Stellungnahme ab.

Das Leck kann auch bei Add-ons auftreten, die Tabbed-Browsing-Funktionen für den Internet Explorer bereitstellen, warnt Secunia. Um Risiken zu vermeiden, empfehlen die Experten, Seiten, an die sensible Daten übergeben werden (zum Beispiel Web-Mail- oder Online-Banking-Zugänge), immer in einem neuen Browser-Fenster zu öffnen, in dem kein zweiter Tab gestartet wird. (lex)