XSS-Filter des IE 8 ist anfällig für Cross-Site-Scripting

Das Problem besteht beim Besuch populärer Websites wie Bing.com, Google.com und Wikipedia.org. Microsoft hat es teilweise schon mit zwei Updates behoben. Sicherheitsforscher raten trotzdem zur Deaktivierung des XSS-Filters.

Sicherheitsforscher haben auf der Konferenz Black Hat Europe einen Cross-Site-Scripting-Angriff (XSS) auf Microsofts Internet Explorer 8 demonstriert. Dafür nutzten sie eine Lücke im XSS-Filter des Browsers.

Das Problem besteht nahezu bei allen Websites, die es Nutzern ermöglichen, Profile anzulegen. Dazu gehören populäre Sites wie Microsofts Bing.com, Google.com, Wikipedia.org und Twitter.com.

Microsoft hatte den XSS-Filter im vergangenen August eingeführt, um Anwender vor sogenannten Type-1-Angriffen zu schützen. Sie zielen darauf ab, Cookies und Anmeldeinformationen zu stehlen oder Tastatureingaben aufzuzeichnen.

Die Forscher Eduardo Vela Nava und David Lindsay haben nun festgestellt, dass der Filter ausgehende Anfragen nach schädlichen Zeichenfolgen scannt und diese ändert, um einen XSS-Angriff abzuwehren. „Die genaue Methode, die verwendet wird, um die Antwort eines Servers zu ändern, ist für den Erfolg entscheidend. Wird ein Angriff nicht richtig neutralisiert, kann ein schädliches Skript weiterhin ausgeführt werden“, heißt es in einem von den Forschern veröffentlichten Bericht (PDF). Darin beschreiben sie eine Methode, um die geänderten Serverantworten für Cross-Site-Scripting zu missbrauchen.

Microsoft-Sprecher Jerry Bryant erklärte, einen großen Teil des Problems habe Microsoft mit den Updates MS10-002 und MS10-018 bereits gelöst. Den Forschern zufolge stellt der XSS-Filter beim Besuch bestimmter Websites aber weiterhin ein Risiko dar. Sie empfehlen Websitebetreibern, alle von Nutzern erstellte Inhalte zu filtern, bis der Fehler vollständig behoben sei. Anwender wiederum sollten den XSS-Filter des Browsers deaktivieren.

Ein Fehler im XSS-Filter des Internet Explorer 8 kann über populäre Websites wie Twitter ausgenutzt werden (Screenshot: Eduardo Vela Nava/David Lindsay).
Ein Fehler im XSS-Filter des Internet Explorer 8 kann über populäre Websites wie Twitter ausgenutzt werden (Screenshot: Eduardo Vela Nava/David Lindsay).

Themenseiten: Browser, Internet Explorer, Microsoft

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu XSS-Filter des IE 8 ist anfällig für Cross-Site-Scripting

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *