Sicherheitsforscher haben auf der Konferenz Black Hat Europe einen Cross-Site-Scripting-Angriff (XSS) auf Microsofts Internet Explorer 8 demonstriert. Dafür nutzten sie eine Lücke im XSS-Filter des Browsers.
Das Problem besteht nahezu bei allen Websites, die es Nutzern ermöglichen, Profile anzulegen. Dazu gehören populäre Sites wie Microsofts Bing.com, Google.com, Wikipedia.org und Twitter.com.
Microsoft hatte den XSS-Filter im vergangenen August eingeführt, um Anwender vor sogenannten Type-1-Angriffen zu schützen. Sie zielen darauf ab, Cookies und Anmeldeinformationen zu stehlen oder Tastatureingaben aufzuzeichnen.
Die Forscher Eduardo Vela Nava und David Lindsay haben nun festgestellt, dass der Filter ausgehende Anfragen nach schädlichen Zeichenfolgen scannt und diese ändert, um einen XSS-Angriff abzuwehren. „Die genaue Methode, die verwendet wird, um die Antwort eines Servers zu ändern, ist für den Erfolg entscheidend. Wird ein Angriff nicht richtig neutralisiert, kann ein schädliches Skript weiterhin ausgeführt werden“, heißt es in einem von den Forschern veröffentlichten Bericht (PDF). Darin beschreiben sie eine Methode, um die geänderten Serverantworten für Cross-Site-Scripting zu missbrauchen.
Microsoft-Sprecher Jerry Bryant erklärte, einen großen Teil des Problems habe Microsoft mit den Updates MS10-002 und MS10-018 bereits gelöst. Den Forschern zufolge stellt der XSS-Filter beim Besuch bestimmter Websites aber weiterhin ein Risiko dar. Sie empfehlen Websitebetreibern, alle von Nutzern erstellte Inhalte zu filtern, bis der Fehler vollständig behoben sei. Anwender wiederum sollten den XSS-Filter des Browsers deaktivieren.
Server-CPUs und Server-GPUs legen deutlich zu. Das Gaming-Segment schwächelt indes.
Zwei Use-after-free-Bugs stecken in Picture In Picture und der WebGPU-Implementierung Dawn. Betroffen sind Chrome für…
Die durchschnittliche Lösegeldzahlung liegt bei 2,5 Millionen Dollar. Acht Prozent der Befragten zählten 2023 mehr…
Eine neue Analyse der EU-Kommission sieht vor allem eine hohe Verbreitung von iPadOS bei Business-Nutzern.…
Das operative Ergebnis wächst um fast 6 Billionen Won auf 6,64 Billionen Won. Die Gewinne…
Ab Werk blockiert Chrome Cookies von Dritten nun frühestens ab Anfang 2025. Unter anderem gibt…