Universeller XSS-Fehler im vollständig gepatchten Microsoft Internet Explorer aufgedeckt

Eine neu entdeckte, schwerwiegende Sicherheitslücke in vollständig gepatchten Versionen des Internet Explorers ermöglicht es Angreifern, Benutzeranmeldeinformationen zu stehlen oder Phishing-Angriffe über jede Website durchzuführen.

Die Sicherheitslücke, die vollständig gepatchte Versionen von IE 11 betrifft, die sowohl unter Windows 7 als auch unter 8.1 laufen, wurde vom Sicherheitsforscher David Leo vom Sicherheitsunternehmen Deusen offengelegt. Ausführlich zur vollständigen OffenlegungDie Sicherheitslücke im Internet Explorer ermöglicht es Hackern, die Same-Origin-Policy zu umgehen – ein grundlegendes Element von Webanwendungen einschließlich des IE-Systems, das standortübergreifende Fälschungen verhindern soll – und Skripte ausführen oder schädliche Inhalte einschleusen soll Websites.

Bei der Sicherheitslücke handelt es sich um einen universellen Cross-Site-Scripting-Fehler (XSS). Mit anderen Worten: Ein Angreifer ist in der Lage, Skriptinhalte auszuführen und Code in eine Website einzuschleusen. Ein voller konzeptioneller Beweiß Das von Leo gepostete Beispiel demonstrierte den Fehler durch einen Besuch der Online-Domain der Daily Mail. Leo nutzte die Sicherheitslücke, um die Worte „Von Deusen gehackt“ in die Website einzuschleusen.

Durch den XSS-Fehler war der Sicherheitsforscher in der Lage, den Inhalt der Website extern zu ändern, und aufgrund der schwerwiegenden Natur des Sicherheitslücke könnte es auch dazu verwendet werden, Website-Inhalte wie Authentifizierungscookies oder Anmeldedaten zu stehlen, die ein Benutzer während einer Sicherheitslücke eingibt Browsersitzung.

Dies könnte nicht nur zum Diebstahl von Benutzerkonten führen, sondern auch von einem Hacker gestohlene HTML-Dateien und Cookies könnten dann in legitim erscheinenden Phishing-Kampagnen verwendet werden. Damit ein Opfer dazu verleitet werden kann, eine bösartige Website zu besuchen, muss es jedoch auf einen Link klicken – Aber in der heutigen Welt voller verkürzter URLs und sozialer Medien ist dies nicht unbedingt schwer zu erreichen.

Leitender Sicherheitsingenieur bei Tumblr Joey Fowler reagierte auf die OffenlegungEr sagte: „Es gibt zwar Macken, aber es funktioniert auf jeden Fall.“ Der Fehler umgeht nicht nur die Same-Origin-Richtlinie, sondern umgeht sie auch Standard-HTTP-zu-HTTPS-Einschränkungen, solange die Seite, die geframet wird, keine X-Frame-Options-Header mit „deny“ oder „same-origin“ enthält. Werte.

Laut Leo, Microsoft wurde am 13. Oktober 2014 benachrichtigt.

Microsoft-Ingenieure arbeiten derzeit an einer Lösung, um die Sicherheitslücke zu schließen. Ein Microsoft-Sprecher sagte gegenüber ZDNet:

„Um dieses Problem erfolgreich auszunutzen, müsste ein Angreifer zunächst eine Person, häufig durch Tricks wie Phishing, auf eine von ihm erstellte bösartige Website locken. SmartScreen, das in neueren Versionen von Internet Explorer standardmäßig aktiviert ist, trägt zum Schutz vor bösartigen Phishing-Websites bei.
Uns ist nicht bekannt, dass diese Sicherheitslücke aktiv ausgenutzt wird, und wir arbeiten daran, sie mit einem Update zu beheben. Wir ermutigen Kunden weiterhin, das Öffnen von Links aus nicht vertrauenswürdigen Quellen und den Besuch nicht vertrauenswürdiger Websites zu vermeiden und sich beim Verlassen von Websites abzumelden, um zum Schutz ihrer Daten beizutragen.“

Weiterlesen: In der Welt der Sicherheit

• Die meisten US-Unternehmen sind anfällig für Insider-Bedrohungen
• Über 90 Prozent der Datenschutzverstöße im ersten Halbjahr 2014 waren vermeidbar
• Aufruhr, Tapferkeit und Verstöße: Die heutigen „terroristischen“ Akteure in der Cybersicherheit
• Mobile Malware ist weltweit auf dem Vormarsch, Ransomware rückt ins Rampenlicht

Lesen Sie weiter: Korrekturen und Fehler

• Oracle veröffentlicht wichtiges Patch-Update: 169 neue Sicherheitsfixes
• VLC-Schwachstellen aufgedeckt
• Microsoft wirft Google vor, die Sicherheitslücke in Windows 8.1 offengelegt zu haben