Neues Spoofing-Loch im Internet Explorer

EnterpriseSicherheit

In dem weit verbreiteten Internet Explorer von Micorsoft wurde ein weiteres Sicherheitsleck bekannt.

In dem weit verbreiteten Internet Explorer (IE) von Micorsoft wurde ein weiteres Sicherheitsleck bekannt. Die dänische Sicherheitsfirma Secunia erklärte, dass dadurch User zum Herunterladen von infizierter Software überlistet werden können.  Über den Fehler kann ein Angreifer eine bösartige Datei als vertrauenswürdig erscheinen lassen. Im Zusammenhang mit einem anderen Fehler des IE könnte das fatale Folgen haben.
So kann eine ausführbare Datei etwa als PDF-Datei angezeigt werden. Ein Hacker könnte zum Beispiel auch den neuen Wurm MyDoom als Word-Dokument tarnen. Der Fehler beträfe die aktuelle Version 6 des Internet Explorers, teilte Secunia mit. Aber auch ältere Versionen können betroffen sein.

In Kombination mit dem Spoofing-Fehler könnte sich das neue Leck als fatal erweisen. Durch den Fehler in dem Microsoft Browser können die Internetadressen von Webseiten mit bösartigem Inhalt in der Adresszeile falsch angezeigt werden. So erscheint in der Adresszeile statt www.boesartig.de beispielsweise www.silicon.de. Auch wenn das Ziel des falschen Links über die rechte Maustaste angezeigt wird, bekommt man die gefälschte Adresse.

Über einen Hyperlink könnte ein Surfer so auf eine getarnte Seite gelangen, der zum Beispiel von einer Behörde ein Formular herunterladen möchte. Statt dessen aber lädt er sich einen Wurm auf seinen Rechner.

Microsoft hat bisher noch keinen Patch für den Fehler veröffentlicht, aber eine Sicherheitsempfehlung herausgegeben. Die lautet: keine Hyperlinks anklicken, sondern die URL manuell in die Adresszeile eintippen. Die Redaktion von silicon.de schlägt vor, über die rechte Maustaste die Option ‘Verknüpfung Kopieren’ zu wählen und in die Adresszeile zu Pasten. Im Falle des Tests von Secunia sähe diese dann so aus: http://www.microsoft.com_%00@secunia.com. Entscheidend ist dabei die Zeichenfolge ‘_%00@’. Diese ist für den Fehler verantwortlich.

Inzwischen hat eine unabhängige Entwicklergruppe einen eigenen Patch für den Microsoft-Fehler bereitgestellt. Microsoft kritisierte die Politik einiger Sicherheitsfirmen, die Fehler veröffentlichen, bevor Hersteller auf den Fehler reagieren könnten.