Kein Update wert

Sicherheitslücke im IE ermöglicht XSS-Angriffe

Ein Sicherheitsunternehmen hat eine Schwachstelle im Internet Explorer veröffentlicht, da es Microsoft offenbar nicht für nötig hält sie mit einem Update zu beseitigen. Der Fehler erlaubt XSS-Angriffe auf Benutzer des Microsofts-Browsers.

Sicherheitslücke im IE ermöglicht XSS-Angriffe

© Archiv

Sicherheitslücke im IE ermöglicht XSS-Angriffe

So genannte XSS-Attacken (Cross-site Scripting) können es einem Angreifer ermöglichen, seine Opfer über die wahre Natur eines Web-Links oder einer Web-Seite zu täuschen. Sie können etwa für Phishing-Angriffe benutzt werden. Das Sicherheitsunternehmen Imperva hat einen Kodierungsfehler im Internet Explorer (IE) aufgedeckt, der solche Angriffe erlaubt. Nach Angaben des Imperva-Forschers Rob Rachwald im Blog des Unternehmens wird der IE-Fehler bereits für derartige Angriffe ausgenutzt. Das Problem ist, dass der IE, anders als etwa Firefox oder Chrome, doppelte Anführungszeichen in URLs nicht in jedem Fall korrekt kodiert. Gemäß RFC 3986, in dem die korrekte URL-Syntax festgelegt ist, sind Anführungszeichen als "%22" zu kodieren. Das macht der IE auch teilweise richtig, doch sind die doppelten Anführungszeichen Teil der Abfragezeichenkette, die mit einem Fragezeichen beginnt, unterlässt er es. Imperva hat Microsoft über diesen Fehler informiert. Der Windows-Hersteller habe darauf geantwortet, der Fehler sei bekannt. Microsoft erwäge eine Veränderung dieses IE-Verhaltens für zukünftige Versionen, ein Sicherheits-Update für derzeitige IE-Versionen sei jedoch nicht vorgesehen.

Mehr zum Thema

Windows Update: Screenshot
Windows Update jetzt ausführen

Windows Update: Microsoft schließt mit Patch KB3079904 eine kritische Sicherheitslücke, mit der Angreifer ein System komplett übernehmen können.…
Whatsapp-Logo
Abofallen und Gewinnspiele

Erhalten Sie per Whatsapp Werbe-Nachrichten zu Whatsapp Gold, klicken Sie getrost auf Löschen. Dahinter verbergen sich Abofallen und dubiose…
Symbolbild: Sicherheit
Kundenpasswörter im Klartext

Bitdefender-Hack: Der Hacker fordert 15.000 US-Dollar, ansonsten würden Nutzerdaten veröffentlicht. Diese speicherte Bitdefender übrigens im…
Flash-Lücke entdeckt
Schädlinge über Flash-Werbung

Yahoo-Webseiten lieferten vom 28. Juli bis 3. August Malware über Flash-Werbung aus. Das entdeckte das Sicherheitsunternehmen Malwarebytes.
Symbolbild für Internet-Sicherheit und Spionage
Teslacrypt

Die Ransomware "TeslaCrypt" ist ein Trojaner, der vor allem Zockern zu schaffen macht. Savegames werden verschlüsselt, die angeblich erst gegen…