Der israelische Sicherheitsspezialist Aviv Raff warnt in einer Online-Demo vor einer Phishing-Schwachstelle in Microsoft s Webbrowser Internet Explorer 7.

Zwei Schwachstellen kombiniert

Laut Raff erleichtert es eine Kombination zweier Schwachstellen im Internet Explorer 7 AngreiferInnen eine Phishing-Attacke erfolgreich durchzuführen. ern In der Online-Demonstration, die der Experte zur Verfügung gestellt hat, zeigt sich, wie man sich die Eigenart des Browser zu nutze machen kann, einen Fehler beim Abbruch der Navigation zu melden ("Die Navigation zu der Webseite wurde abgebrochen"). Mit einem präparierten Link ist es möglich, JavaScript in diese lokal vordefinierte Fehlerseite (navcancl.htm) einzuschleusen und so eigene Inhalte anzuzeigen.

Gefahr

Diese eine Schwachstelle alleine wäre nur halb so wild, doch zeigt der IE 7 durch einen Designfehler in der Adresszeile nur die URL der ursprünglich aufgerufenen Seite an, obwohl der dargestellte Inhalt nicht von dort stammt. So würden AnwenderInnen getäuscht. Der gefälschte Inhalt einer Webseite wird aber erst dann eingeblendet, wenn das Opfer in der Fehlerseite den Link "Aktualisieren Sie die Seite" anklickt. Erfahrungsgemäß klicken viele Anwender aber eher auf den Refresh-Button in der Navigationsleiste, so dass der Fehler in solchen Fällen nicht zum Tragen komme, meint Raff.

Untersuchungen laufen

Laut US-Medienberichten untersuche Microsoft bereits das Problem. Von dieser Schwachstellen-Kombination ist der Internet Explorer 7 unter Vista und XP betroffen. Als Workaround bis eine endgültige Lösung des Problems entwickelt wurde, Aviv Raff, nicht dem Aktualisierungslink in Fehlermeldungen zu folgen.(red)