Cross-Zone-Scripting attackiert Internet Explorer

EnterpriseSicherheit

Der israelische Sicherheitsforscher Aviv Raff hat eine Lücke entdeckt, die den Internet Explorer von Microsoft anfällig macht für eine besondere Art von Zero-Day-Attacken. Die Angriffsmethode wird als Cross-Zone-Scripting bezeichnet. Sie soll bereits durch ein funktionierendes Exploit nachgewiesen sein.

Innerhalb der Funktion ‘Print Table of Links’ sei eine angreifbare Lücke, teilte Raff mit. Die Funktion listet beim Ausdruck einer Website am Ende des Ausdrucks alle Links auf, die sich auf einer Site befinden. Bösartiger Code könne sich bei der Generierung dieser HTML-Bauweise der Website entfalten und im Computer des Nutzers Schaden anrichten. Möglicherweise könne ein Angreifer auch die Kontrolle über den Rechner des Nutzers erlangen.

Während Microsoft in einem Statement die Gefährlichkeit des Lecks in der Form, wie sie Raff beschrieb, bestritten haben soll, erklärte Raff gegenüber US-Medien, warum er zunächst eine Beschreibung des Lecks, dann eine öffentliche “Schatzsuche” nach dem online versteckten Exploit Code gestartet hatte, um jetzt Details der Lücke und des Codes zu veröffentlichen.

In der Vergangenheit, so Raff, habe sich der Konzern den Ratschlägen und Warnungen des Security-Spezialisten nicht verschlossen, aber sehr langsam reagiert. Augenscheinlich betrachtete Raff diese Methode, die Security-Community ganz offen mit einzubeziehen und stückweise Ergebnisse und Details zu veröffentlichen als gute Methode, den Riesen in Bewegung zu bringen. Microsoft, so hieß es am Freitag, arbeitet an diesem Problem.