Neues Leck klafft in allen Browsern

Betroffen sind der Internet Explorer, Firefox, Mozilla und SeaMonkey – egal ob sie auf Windows, Linux oder dem Mac laufen. Durch die Schwachstelle ist es Angreifern möglich, Nutzer zu betrügen, so dass diese unwissentlich vertrauliche Informationen wie Konto-, Kreditkartennummern oder Passwörter herausgeben.

Nach Angaben von Symantec können alle Versionen der Microsoft- und Mozilla-Browser genutzt werden, um über eine Lücke im JavaScript Key-Filter an Informationen zu gelangen. “Das Problem entsteht dadurch, dass JavaScript ‘OneKeyDown’ genutzt wird, um die Tastenanschläge von Nutzern aufzuzeichnen und zu fälschen.”

Kriminelle können dadurch Tastenanschläge filtern, die beim Ausfüllen eines Formulars genutzt wurden – zum Beispiel  ein Kreditkartenformular um Online-Waren zu zahlen. Dafür nutzten die Angreifer einen unsichtbaren Datei-Upload auf der selben Seite, über den die Informationen weitergegeben werden.

“Um den Fehler auszunutzen, müssen Anwender manuell alle Daten eingeben, die ein Hacker haben möchte”, hieß es von Symantec. “Das erfordert eventuell jede Menge Tipparbeit von Seiten des Nutzers – obwohl Tastatur-basierte Spiele, Blogs und ähnliche Seiten von Angreifern wahrscheinlich genutzt werden, um die Nutzer dazu zu bringen die Daten einzutippen.” Secunia stuft das Leck als “mäßig kritisch” ein.