Categories: BrowserWorkspace

Zero-Day-Lücke in Internet Explorer gibt Eingaben in die Adressleiste preis

Der Sicherheitsforscher Manuel Caballero hat eine Zero-Day-Lücke in Internet Explorer öffentlich gemacht. Sie erlaubt es der aktuell besuchten Website, alle Eingaben in die Adressleiste des Browser auszuspähen. Microsoft ist das Problem inzwischen bekannt.

Die Schwachstelle kann durch jede Website ausgenutzt werden, die in Internet Explorer geöffnet ist. Da jegliche Eingaben in die Adressleiste betroffen sind, kann eine Website also nicht nur erfahren, welche URL ein Nutzer als nächstes aufruft, sondern auch mögliche Suchbegriffe – die Adressleiste des Internet Explorer lässt sich wie bei anderen Browsern auch als Eingabefeld für die voreingestellte Suchmaschine nutzen.

Ein Bug in Internet Explorer legt jegliche Eingaben in die Adressleiste gegenüber der aktuell besuchten Website offen (Screenshot: ZDNet.de).

Die Eingaben werden allerdings erst nach Betätigen der Enter-Taste übertragen. Caballero zufolge lassen sich die Eingaben mithilfe eines HTML/Object-Tag auslesen. Nutzer des Internet Explorers können den Bug auf einer von Caballero erstellten Test-Website nachvollziehen. In anderen Browsern wie Edge, Firefox und Chrome funktioniert der Proof-of-Concept indes nicht – Nutzer landen wie gewünscht bei der eingegebenen URL oder ihren Suchresultaten.

Anfällig ist dem Forscher zufolge die aktuelle Version von Internet Explorer 11. Frühere Versionen des Microsoft-Browsers könnten jedoch ebenfalls unsicher sein. Ein Test von ZDNet mit IE 8 unter Windows XP war nicht erfolgreich, da der Browser die Testseite nicht anzeigen konnte.

Gegenüber Ars Technica bestätigte Caballero zudem, dass Websites die Eingaben auch unbemerkt im Hintergrund auslesen können. Die Testwebsite unterbreche die Ausführung der Eingabe bewusst, um zu zeigen, dass die Daten abgefangen wurden.

Dem Blog liegt zudem eine Stellungnahme von Microsoft vor. Demnach untersucht das Unternehmen das Problem. Ein Fix soll im Rahmen eines kommenden Patchdays verteilt werden. Der nächste Termin für die Veröffentlichung von Sicherheitsupdates ist der 10. Oktober.

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Whitepaper

CAD-Daten optimal verwalten: ECM-Lösungen vereinfachen Planmanagement

Wie ECM-Systeme CAD-Prozesse verbessern können, was eine gute ECM-Lösung beim Planmanagement auszeichnet und warum sich nscale CAD als spezialisierte Lösung für das Planmanagement anbietet, erklärt dieses Whitepaper.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Kostenloser Dekryptor für ShrinkLocker

Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.

4 Stunden ago

Malwarebytes warnt vor Betrugsmaschen beim Weihnachtseinkauf

In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…

4 Stunden ago

Bedrohungsindex: Deutliche Zunahme von Infostealern im Oktober

Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.

22 Stunden ago

Chrome 131 schließt zwölf Sicherheitslücken

Eine schwerwiegende Anfälligkeit hebelt die Sicherheitsfunktion Seitenisolierung auf. Betroffen sind Chrome für Windows, macOS und…

22 Stunden ago

DeepL Voice mit KI für Sprach- übersetzungen

DeepL Voice ermöglicht Live‑Übersetzung von Meetings und Gesprächen in 13 Sprachen.

24 Stunden ago

November-Patchday: Microsoft schließt Zero-Day-Lücken in Windows

Betroffen sind Windows und Windows Server. Microsoft patcht aber auch Schwachstellen in Excel, Word und…

1 Tag ago