Internet Explorer: neue Lücke für Betrugsversuche entdeckt

Das Sicherheitsteam Greyhat meldet eine neue Phishing-Lücke im Internet Explorer [1]. Sie kann dazu ausgenutzt werden, um Anwender auf einer vermeintlich sicheren Website zu wähnen und zur Eingabe von vertraulichen Login-Daten zu bringen. Schuld ist ein Fehler in der ActiveX-Kontrolle [2] DHTML Edit. Er ermöglicht es Angreifern, beliebigen Code in eine fremde Website zu schreiben und so deren Inhalt zu fälschen. In der Adressleiste des Browsers ist immer noch die URL der Originalseite sichtbar. Das Opfer muss dazu nur eine entsprechend präparierte Seite ansurfen, bevor es anschliessend auf seine Online-Banking-Seite oder -Shopping-Homepage geht.

Einen Patch für die Lücke gibt es bislang nicht. Heise Security empfiehlt, in den Sicherheitseinstellungen unter "Extras/Internetoptionen/Sicherheit/Stufe anpassen" das "Ausführen von ActiveX und Plugins" zu deaktivieren [3]. Dadurch kann jedoch die Funktionalität verschiedener Websites leiden. Als alternative Lösung bietet sich an, einen anderen Browser wie Firefox [4] oder Opera [5] zu verwenden.