Internet Explorer 11: Lücke ermöglicht Phishing

Eine Zero-Day-Lücke im Internet Explorer 11 lässt Angreifern ein Tor zum Abgreifen von Nutzerdaten offen. Malware-Schreiber hätten Heise zufolge ein leichtes Spiel, Webseiten zu bauen, die auf schädliche Weise mit parallel geöffneten Webseiten interagieren können. Die Gefahr lauert insbesondere bei Vorgängen wie Onlinebanking. Eine mittels sogenanntem «UXSS»-Verfahren präparierte Webseite könnte während einer Browser-Sitzung unter Umständen Nutzerdaten abgreifen. Dazu reicht es, eine verseuchte Seite in einem Browser-Fenster offen zu haben. Faktisch stünden Angreifern Kundendaten von beliebigen, gleichzeitig geöffneten, Seiten wie etwa E-Mail- oder Shop-Anbietern offen. Abgegriffen werden die Cookies mit den Anmeldeinformationen.

Die «Universal-Cross-Scripting»-Methode ist perfide, weil sie nicht nur eine Webseite manipuliert. Die Umleitung kann der Angegriffene nicht an der URL erkennen. Ein wichtiges Sicherheitskonzept des Browsers verhindert normalerweise, dass Script-Sprachen wie JavaScript und Cascading Style Sheets (CSS) nicht auf Cookies anderer Seiten zugreifen. Denn Chrome und Firefox sind gemäss Tests nicht von der Lücke betroffen.

Microsoft sagt gegenüber Computerworld, dass es bislang zu keinen Angriffen gekommen sei, hat aber den Fehler noch nicht behoben. Wann dies geschieht, bleibt noch unklar. Daher empiehlt es sich, bis auf Weiteres auf den IE 11 zu verzichten und auf einen anderen Browser wie Chrome oder Firefox auszuweichen. Die Lücke mag nicht so schwerwiegend wie die Same-Origin-Lücke bei Android sein, Microsoft sollte sich dennoch tunlichst darum kümmern.