Der Sicherheitsforscher Manuel Caballero hat eine Zero-Day-Lücke in Internet Explorer öffentlich gemacht. Sie erlaubt es der aktuell besuchten Website, alle Eingaben in die Adressleiste des Browser auszuspähen. Microsoft ist das Problem inzwischen bekannt.
Die Schwachstelle kann durch jede Website ausgenutzt werden, die in Internet Explorer geöffnet ist. Da jegliche Eingaben in die Adressleiste betroffen sind, kann eine Website also nicht nur erfahren, welche URL ein Nutzer als nächstes aufruft, sondern auch mögliche Suchbegriffe – die Adressleiste des Internet Explorer lässt sich wie bei anderen Browsern auch als Eingabefeld für die voreingestellte Suchmaschine nutzen.
Die Eingaben werden allerdings erst nach Betätigen der Enter-Taste übertragen. Caballero zufolge lassen sich die Eingaben mithilfe eines HTML/Object-Tag auslesen. Nutzer des Internet Explorers können den Bug auf einer von Caballero erstellten Test-Website nachvollziehen. In anderen Browsern wie Edge, Firefox und Chrome funktioniert der Proof-of-Concept indes nicht – Nutzer landen wie gewünscht bei der eingegebenen URL oder ihren Suchresultaten.
Anfällig ist dem Forscher zufolge die aktuelle Version von Internet Explorer 11. Frühere Versionen des Microsoft-Browsers könnten jedoch ebenfalls unsicher sein. Ein Test von ZDNet mit IE 8 unter Windows XP war nicht erfolgreich, da der Browser die Testseite nicht anzeigen konnte.
Gegenüber Ars Technica bestätigte Caballero zudem, dass Websites die Eingaben auch unbemerkt im Hintergrund auslesen können. Die Testwebsite unterbreche die Ausführung der Eingabe bewusst, um zu zeigen, dass die Daten abgefangen wurden.
Dem Blog liegt zudem eine Stellungnahme von Microsoft vor. Demnach untersucht das Unternehmen das Problem. Ein Fix soll im Rahmen eines kommenden Patchdays verteilt werden. Der nächste Termin für die Veröffentlichung von Sicherheitsupdates ist der 10. Oktober.
Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Wie ECM-Systeme CAD-Prozesse verbessern können, was eine gute ECM-Lösung beim Planmanagement auszeichnet und warum sich nscale CAD als spezialisierte Lösung für das Planmanagement anbietet, erklärt dieses Whitepaper.
Zwei Use-after-free-Bugs stecken in Picture In Picture und der WebGPU-Implementierung Dawn. Betroffen sind Chrome für…
Die durchschnittliche Lösegeldzahlung liegt bei 2,5 Millionen Dollar. Acht Prozent der Befragten zählten 2023 mehr…
Eine neue Analyse der EU-Kommission sieht vor allem eine hohe Verbreitung von iPadOS bei Business-Nutzern.…
Das operative Ergebnis wächst um fast 6 Billionen Won auf 6,64 Billionen Won. Die Gewinne…
Ab Werk blockiert Chrome Cookies von Dritten nun frühestens ab Anfang 2025. Unter anderem gibt…
Die Vorfreude steigt, denn BAUMLINK wird als Partner und Aussteller bei der Tech Show 2024…
