In Microsofts Internet Explorer wurde ein Fehler entdeckt, der die Adressen von Websites verschleiert. Dieser Trick könnte ausgenützt werden, um als vertraulich bekannte Webseiten in der Adresszeile anzuzeigen, in Wirklichkeit aber auf unsichere Seiten zu surfen.

Bild

Dieser Trick wurde von einem Sicherheitsspezialist mit dem Pseudonym http-equiv entdeckt, er basiert auf die Möglichkeit ein Bild in einen Link einzubauen. Ist nämlich das HTML-Tag MAP in einen weiteren Link (A HREF) eingebettet, zeigen der Internet Explorer, Outlook und Outlook Express in der Statusleiste eine falsche URL an.

Der Entdecker der Sicherheitslücke zeigt einen Proof-of-Concept-Exploit, dazu muss die HTML-Ansicht aktiviert sein. Outlook 2003 ist nicht von dem Problem betroffen, derzeit steht noch kein Patch bereit.

Problem nicht neu

Bereits in der Vergangenheit wurden ähnliche Sicherheitslücken beim Internet Explorer bekannt, es wurde sogar ein Open-Source-Patche zur Behebung des Problems entwickelt. Dieser verursachte allerdings mehr Probleme als er lösen konnte (Der Webstandard berichtete).(red)