Zero-Day-Lücke in Internet Explorer gibt Eingaben in die Adressleiste preis

Die aktuell angezeigte Website kann die Daten mithilfe eines HTML/Object-Tag abrufen. Das geschieht im Hintergrund und ohne Wissen des Nutzers. Davon betroffen sind eingegebene URLs und auch Suchanfragen.

Der Sicherheitsforscher Manuel Caballero hat eine Zero-Day-Lücke in Internet Explorer öffentlich gemacht. Sie erlaubt es der aktuell besuchten Website, alle Eingaben in die Adressleiste des Browser auszuspähen. Microsoft ist das Problem inzwischen bekannt.

Die Schwachstelle kann durch jede Website ausgenutzt werden, die in Internet Explorer geöffnet ist. Da jegliche Eingaben in die Adressleiste betroffen sind, kann eine Website also nicht nur erfahren, welche URL ein Nutzer als nächstes aufruft, sondern auch mögliche Suchbegriffe – die Adressleiste des Internet Explorer lässt sich wie bei anderen Browsern auch als Eingabefeld für die voreingestellte Suchmaschine nutzen.

Ein Bug in Internet Explorer legt jegliche Eingaben in die Adressleiste gegenüber der aktuell besuchten Website offen (Screenshot: ZDNet.de).Ein Bug in Internet Explorer legt jegliche Eingaben in die Adressleiste gegenüber der aktuell besuchten Website offen (Screenshot: ZDNet.de).

Die Eingaben werden allerdings erst nach Betätigen der Enter-Taste übertragen. Caballero zufolge lassen sich die Eingaben mithilfe eines HTML/Object-Tag auslesen. Nutzer des Internet Explorers können den Bug auf einer von Caballero erstellten Test-Website nachvollziehen. In anderen Browsern wie Edge, Firefox und Chrome funktioniert der Proof-of-Concept indes nicht – Nutzer landen wie gewünscht bei der eingegebenen URL oder ihren Suchresultaten.

Anfällig ist dem Forscher zufolge die aktuelle Version von Internet Explorer 11. Frühere Versionen des Microsoft-Browsers könnten jedoch ebenfalls unsicher sein. Ein Test von ZDNet mit IE 8 unter Windows XP war nicht erfolgreich, da der Browser die Testseite nicht anzeigen konnte.

Gegenüber Ars Technica bestätigte Caballero zudem, dass Websites die Eingaben auch unbemerkt im Hintergrund auslesen können. Die Testwebsite unterbreche die Ausführung der Eingabe bewusst, um zu zeigen, dass die Daten abgefangen wurden.

Dem Blog liegt zudem eine Stellungnahme von Microsoft vor. Demnach untersucht das Unternehmen das Problem. Ein Fix soll im Rahmen eines kommenden Patchdays verteilt werden. Der nächste Termin für die Veröffentlichung von Sicherheitsupdates ist der 10. Oktober.

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Whitepaper

CAD-Daten optimal verwalten: ECM-Lösungen vereinfachen Planmanagement

Wie ECM-Systeme CAD-Prozesse verbessern können, was eine gute ECM-Lösung beim Planmanagement auszeichnet und warum sich nscale CAD als spezialisierte Lösung für das Planmanagement anbietet, erklärt dieses Whitepaper.

Themenseiten: Browser, Internet Explorer, Microsoft, Privacy, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Zero-Day-Lücke in Internet Explorer gibt Eingaben in die Adressleiste preis

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *