Internet Explorer: Sechs Jahre alte Lücke wieder aufgetaucht

Im Internet Explorer 6 ist eine Lücke wieder aufgetaucht, die eigentlich bereits seit 1998 beseitigt sein sollte. Über das Einspeisen von Content in Frames beliebiger Browserfenster können Angreifer den Inhalt von Webseiten fälschen und so dem arglosen User Schadcode unterschieben.

Mit einem selbst aus dem entsprechenden Posting auf der Security-Liste FullDisclosure noch deutlich herauszulesendem, breiten Grinsen beschreibt der "Wiederentdecker" http-equiv die Schwachstelle als "Super-Spoof deluxe, zweite Runde". Diese Sicherheitslücke ähnelt stark einer seit längerem bekannten Schwachstelle, die eigentlich seit Dezember 1998 mit dem Security Bulletin MS98-020 in Internet Explorer 3 und 4 beseitigt sein sollte.

Das Problem wird dadurch verursacht, dass Internet Explorer es dem Angreifer ermöglicht, beliebige Inhalte von einer präparierten Website in einem beliebigen Frame eines anderen Browser-Fensters anzuzeigen. So kann der Angreifer dem Benutzer schädlichen Content unterschieben, der von einer vertrauenswürdigen Website zu stammen scheint. http-equiv hat dazu ein Beispiel veröffentlicht, das beliebige Inhalte in einem Frame auf windowsupdate.microsoft.com anzeigt.

Die Sicherheitslücke ist bestätigt für einen voll gepatchten Internet Explorer 6 unter Microsoft Windows XP. Andere Versionen des Internet Explorers könnten jedoch ebenfalls betroffen sein.

Als Vorsichtsmaßnahmen kommen auch hier wieder diejenigen Schritte in Frage, die man beim notorisch löchrigen MSIE ohnehin grundsätzlich befolgen sollte: Nur vertrauenswürdige Websites besuchen; keinen Links auf nicht absolut vertrauenswürdigen Websites folgen; zweifelhafte Links nicht anklicken, sondern abtippen; Active Scripting deaktivieren, etc. pp. Den gebetsmühlenartig wiederholten Verweis auf mögliche Browser-Alternativen schenken wir uns für diese Meldung. (jlu)