Rob Rachwald, Forscher beim IT-Security-Anbieter Imperial, warnt in einem Blog-Post seines Unternehmens vor einer neuen Sicherheitslücke von Microsofts Web-Browser Internet Explorer (IE). Danach können Hacker einen Fehler in der Art und Weise ausnutzen, wie der Browser den Inhalt der Adresszeile verarbeitet, mit deren Hilfe Web-Surfer Internet-Angebote aufrufen.
Installation im Hintergrund
Rachwald moniert, dass der IE – anders als etwa Mozillas Firefox oder Googles Chrome – Anführungszeichen in einer Web-Adresse vor der Übertragung ins Netz nicht regelkonform durch eine vorgegebene Zeichenfolge ersetzt. Daher können Hacker dem Browser auf diesem Weg unerwünschten Programmcode unterjubeln und so Erscheinungsbild und Verhalten von Webseiten manipulieren, ohne dass dies dem Nutzer auffällt.
Als Folge solcher Cross-site-Scripting (XSS) genannten Angriffe rufen ahnungslose Onliner beispielsweise Daten aus dem Netz ab, die ihnen vertrauenswürdig erscheinen – zum Beispiel ein Video. Gleichzeitig aber wird unbemerkt im Hintergrund auch ein Software-Schädling auf dem Rechner installiert.
Kein Sicherheits-Update notwendig
Rachwald schreibt, er habe Microsoft mit dem Problem konfrontiert und zitiert aus der Antwort des Unternehmens: Der Software-Fehler sei bereits bekannt und aktuell werde geprüft, ob Veränderungen an der Software in künftigen Programmversionen erforderlich seien. Ein kurzfristiges Sicherheits-Update sei indes nicht notwendig, erklärte Microsoft.
Imperva-Experte Rachwald hält dagegen. Ihm seien bereits Web-Seiten bekannt, die unter Ausnutzung dieses Sicherheitsproblems angegriffen wurden, und bei deren ausschließlich Nutzer des Internet Explorers von den Attacken betroffen gewesen seien.
