Ein gerade erst im Firefox geschlossenes Problem scheint nun auch andere Browserhersteller einzuholen: Wie der Sicherheitsexperte Stefan Esser berichtet, lasse sich eine von ihm gefundene Cross-Site-Scripting-Lücke auch im Internet Explorer 7 und im Opera 9 ausnutzen.

UTF-7

Das Problem entsteht dabei laut Esser bei Webseiten, die ihr Character-Encoding nicht definieren. So ließe sich etwa bei einem Weblog ein Kommentar verfassen, der als UTF-7 kodierten XSS-Code beinhaltet und so sensible Daten ausspionieren kann.

Keine Reaktion

Auch wenn Esser selbst das Risiko durch die Lücke als "Low" angibt, so spart er nicht mit Kritik an den diversen Browserherstellern. So habe Microsoft auf seinen vor mehreren Monaten getätigten Fehlerbericht lediglich mit dem Vorwurf reagiert, dass er die Lücke vorzeitig bekannt gemacht habe. Seitdem herrsche Funkstille. Opera habe gar gleich von Anfang in keinster Weise reagiert.

Phishing

Zusätzlich zu dieser Lücke wurde in den letzten Tagen noch ein weiteres Problem im IE7 bekannt: Der auch für die aktuellen Bug-Berichte im Zusammenhang mit dem Firefox bekannte Michal Zalewski warnt vor möglichen Phishing-Attacken.

Bug

Aufgrund eines Fehlers in der Verarbeitung der "onunload"-Funktion können Webseiten den Ladevorgang einer Seite abbrechen und dabei den URL-Eintrag in der Adresszeile fälschen. Auf diese Weise ist es ein leichtes den BenutzerInnen eine falsche Authentizität vorzuspiegeln. Ein Update zur Behebung dieses Problems gibt es derzeit noch nicht. (red)