Noch mehr Sicherheitslöcher im Internet Explorer
Der Internet Explorer 6 ist erneut von einer Sicherheitslücke bedroht, die in ähnlicher Weise bereits 1998 in den Versionen 3.x und 4.x entdect wurde. Über diese Sicherheitslücke, konnte eine Webseite auf die Frames in bereits geöffneten Browserfenstern zugreifen und Code einschleusen oder Inhalte auslesen. Eigentlich soll das Sicherheitskonzept des Internet Explorer solche Cross-Domain-Zugriffe verhindern. Eine Webseite oder ein -Server darf nur auf solche Fenster und Frames zugreifen, die im gleichen Domain-Kontext stehen. Das bedeutet, Frames aus untrusted.com sollten keine Inhalte von Frames aus trusted.com lesen oder in diese Frames schreiben dürfen.
Trotzdem funktioniert der Angriff in den aktuellen Versionen des Internet Explorers nun aber wieder. Der auf diversen Sicherheitsmailing-Listen bekannte Sicherheitsspezialist mit dem Pseudonym http-equiv hat auf seinen Webseiten eine Demonstration der Lücke programmiert, die zunächst auf windowsupdate.com führt. In dem Browserframe erscheint kurz danach dann eingeschleuster HTML-Code. Laut Meldung ist ein vollgepatchter Internet Explorer unter Windows XP, wahrscheinlich sogar mit SP2 RC1, verwundbar. Ein Patch oder Workaround gibt es derzeit nicht. Es wird den Anwendern dringend empfohlen einen anderen Browser zu benutzen. (30.06.04) Wolf Weber - http://www.wolf-weber.de |