Sicherheit

Neue Sicherheitslücke im Internet Explorer entdeckt

Druck-Script soll Webadressen in Linkliste nicht überprüfen
Von Björn Brodersen
Kommentare (1565)
AAA
Teilen

Der jüngste Patch-Day ist gerade zwei Tage her, da dürfen sich die Softwareentwickler von Microsoft schon um die nächste Schwachstelle im Browser Internet Explorer kümmern. Der israelische Programmierer Aviv Raff berichtet auf seiner Website von einer Cross-Zone-Scripting-Sicherheitslücke in den Browserversionen Internet Explorer 7.0 und 8.0, die offenbar Nutzer der Betriebssysteme XP und Vista betrifft. Die Schwachstelle soll sich in der Funktion "Liste der Links ausdrucken" befinden, über die Nutzer eine Linkliste zum Ausdruck einer Website hinzufügen können.

Angreifer können den Angaben zufolge über einen speziell gestalteten Link auf einer Website ein bestimmtes Script in das Programm einschleusen. Sobald ein Internetnutzer diese Website im Internet Explorer ausdrucke, könne der Angreifer schädlichen Programmcode auf dem Rechner des Nutzers ausführen. Möglich werde ein solcher Angriff dadurch, dass der Internet Explorer fürs Ausführen des Druckbefehls ein lokales Script nutze, das zunächst ein neues HTML-Dokument aus den Elementen Kopfbereich, Hauptteil, Fußbereich und - auf Anfrage - eine Linkliste erzeuge. Dabei überprüfe das Script allerdings nicht die dahinter liegenden Webadressen.

Eine ausführlichere Beschreibung sowie eine Demonstration des Problems finden Interessenten auf der Website von Raff.

Teilen