Sicherheitsexperten warnen derzeit vor einer offenbar noch nicht geschlossenen Cross-Site Scripting-Lücke die den Internet Explorer 6 betrifft. Auch die jüngeren Varianten 7 und 8 von Microsofts Browser sollen anfällig sein. Außerdem ist der Alternativ-Browser Firefox unbestätigten Angaben zufolge ebenfalls nicht vor dem Problem gefeit.
Die Schwachstelle könnte von Angreifern ausgenutzt werden, um mit wenig Aufwand die Tastatureingaben des Anwenders mitzuschneiden und andere Informationen abzufangen. Offenbar handelt es sich um eine Variante eines Fehlers, der schon im letzten Monat von den Sicherheitsspezialisten Mauel Caballero und Fukami auf Microsofts Hacker-Konferenz Blue Hat diskutiert wurde.
Caballero hatte damals einen Weg demonstriert, wie alle Aktionen des Browsers inklusive sämtlicher Tastatureingaben und Passworts "mitgeschnitten" werden können. In einem Gespräch mit Microsofts Community-Dienst Channel 9 hatte er angegeben, dass praktisch jeder Browser zusammen mit Flash für seinen Ansatz anfällig ist, bei dem man sich mit einem gefährlichen Script die volle Kontrolle über den Browser verschaffen kann.
Zu den nun aufgetauchten Variationen, die den Internet Explorer 6 als Hauptziel ins Visier nehmen, wurden in chinesischsprachigen Diskussionsforen für Sicherheitsspezialisten ausführlichere Informationen und sogar Proof-of-Concept Code veröffentlicht, meldete der dänische Sicherheitsdienstleister Secunia.
Während Secunia und dessen Konkurrent McAfee davon ausgehen, dass der Internet Explorer 7 nicht von dem Problem betroffen ist, melden Medien gegenteiliges. Schaltet man Active Scripting ab, dürfte das Problem generell nicht mehr auftreten. Microsoft hat sich bisher noch nicht dazu geäußert, dürfte aber wie üblich zeitnah mit einem entsprechenden Update reagieren.
Weitere Informationen: Secunia Sicherheitshinweis