Categories: BrowserWorkspace

Zero-Day-Lücke in Internet Explorer gibt Eingaben in die Adressleiste preis

Der Sicherheitsforscher Manuel Caballero hat eine Zero-Day-Lücke in Internet Explorer öffentlich gemacht. Sie erlaubt es der aktuell besuchten Website, alle Eingaben in die Adressleiste des Browser auszuspähen. Microsoft ist das Problem inzwischen bekannt.

Die Schwachstelle kann durch jede Website ausgenutzt werden, die in Internet Explorer geöffnet ist. Da jegliche Eingaben in die Adressleiste betroffen sind, kann eine Website also nicht nur erfahren, welche URL ein Nutzer als nächstes aufruft, sondern auch mögliche Suchbegriffe – die Adressleiste des Internet Explorer lässt sich wie bei anderen Browsern auch als Eingabefeld für die voreingestellte Suchmaschine nutzen.

Ein Bug in Internet Explorer legt jegliche Eingaben in die Adressleiste gegenüber der aktuell besuchten Website offen (Screenshot: ZDNet.de).

Die Eingaben werden allerdings erst nach Betätigen der Enter-Taste übertragen. Caballero zufolge lassen sich die Eingaben mithilfe eines HTML/Object-Tag auslesen. Nutzer des Internet Explorers können den Bug auf einer von Caballero erstellten Test-Website nachvollziehen. In anderen Browsern wie Edge, Firefox und Chrome funktioniert der Proof-of-Concept indes nicht – Nutzer landen wie gewünscht bei der eingegebenen URL oder ihren Suchresultaten.

Anfällig ist dem Forscher zufolge die aktuelle Version von Internet Explorer 11. Frühere Versionen des Microsoft-Browsers könnten jedoch ebenfalls unsicher sein. Ein Test von ZDNet mit IE 8 unter Windows XP war nicht erfolgreich, da der Browser die Testseite nicht anzeigen konnte.

Gegenüber Ars Technica bestätigte Caballero zudem, dass Websites die Eingaben auch unbemerkt im Hintergrund auslesen können. Die Testwebsite unterbreche die Ausführung der Eingabe bewusst, um zu zeigen, dass die Daten abgefangen wurden.

Dem Blog liegt zudem eine Stellungnahme von Microsoft vor. Demnach untersucht das Unternehmen das Problem. Ein Fix soll im Rahmen eines kommenden Patchdays verteilt werden. Der nächste Termin für die Veröffentlichung von Sicherheitsupdates ist der 10. Oktober.

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Whitepaper

CAD-Daten optimal verwalten: ECM-Lösungen vereinfachen Planmanagement

Wie ECM-Systeme CAD-Prozesse verbessern können, was eine gute ECM-Lösung beim Planmanagement auszeichnet und warum sich nscale CAD als spezialisierte Lösung für das Planmanagement anbietet, erklärt dieses Whitepaper.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Chief Digital Officer an Bord

Es gibt einen Wandel in der Verantwortlichkeit für Informationstechnologie in Unternehmen. Zunehmend treten Chief Digital…

19 Stunden ago

Digitale OT-Supply-Chain gefährdet

Operational Technology (OT) oder auf Deutsch die Steuerung von Produktionsanlagen gerät immer mehr ins Visier…

21 Stunden ago

FBI warnt vor Diebstahl von Passwörtern per QR-Code

Cyberkriminelle haben es auch auf Finanzdaten abgesehen. Sie machen sich den Umstand zunutze, dass QR-Codes…

2 Tagen ago

Project: Opera stellt Browser für Krypto-Dienste vor

Im Mittelpunkt steckt die Web3-Integration. Project unterstützt Bitcoin, Celo, Ethereum und Nervos. Weitere Kryptowährungen sollen…

2 Tagen ago

Cybersicherheit ohne menschliches Zutun

Solid-State Drives (SSD) mit integrierter künstlicher Intelligenz (KI) bieten Hardware-Schutz vor Cyberangriffen. Jetzt gibt es…

2 Tagen ago

Netzwerkadministration wird zu Strategy First

Netzwerkadministratoren stehen dieses Jahr vor neuen Herausforderungen wie Zero Trust, Forderungen nach höherer Konnektivität und…

2 Tagen ago