Katastrophale Löcher: Internet Explorer praktisch nutzlos

Das zweite schwere Sicherheitsloch binnen einer Woche wurde jetzt im Internet Explorer entdeckt. Angreifer können unter Umgehung der Sicherheitszonen Code auf dem Rechner ausführen, und Betrüger über gefälschte URLs arglose Opfer um sensitive Daten erleichtern. Um sich vor Angriffen zu sichern, müssen Benutzer den Browser derart beschränken, dass an ein sinnvolles Surfen nicht mehr zu denken ist.

Die von einem japanischen Sicherheitsexperten mit dem Nom de Guerre "bitlance winter" entdeckte neue Lücke betrifft auch voll gepatchte System mit IE6. Über das Sicherheitsloch kann der Angreifer zum einen den in Adress- und Statusleiste angezeigten URL fälschen und so sein Opfer auf eine präparierte Website umleiten. Um etwa einen arglosen Surfer statt auf tecCHANNEL zu seiner Site zu dirigieren, könnte er einen Link folgender Struktur nutzen:

http://www.tecchannel.de%2F%20[viele_spaces]redirect=www.[angreifer].com

Schon dies genügt einem Phisher, um das sich auf einer sicheren Site wähnende Opfer um sensitive Informationen zu erleichtern. Es kommt jedoch noch schlimmer: Die nachgeladene Seite wird in der Sicherheitszone der vorgeblich angesteuerten Site angezeigt. Im obigen Beispiel würde also die Angreifer-Website im Sicherheitskontext von tecCHANNEL angezeigt. Hat das Opfer tecCHANNEL in die Sicherheitszone "Vertrauenswürdige Sites" aufgenommen, kommt damit auch die Angreifer-Website in den Genuss der damit verbundenen Rechte. Genauere Details dazu finden Sie in unserem Security-Report zur Lücke.

Da der Angreifer manche notgedrungen "vertrauenswürdige" Websites (etwa windowsupdate.microsoft.com) unschwer erraten kann, stehen ihm damit im Kombination mit weiteren, nicht gepatchten schweren Lücken im Internet Explorer Tür und Tor nicht nur für Phishing, sondern auch zur Kompromittierung des Rechners offen.

Die einzig zuverlässige Abhilfe besteht momentan darin, dem Internet Explorer die Ausführung von aktiven Inhalten grundsätzlich und für alle Zonen zu verbieten. Da allerdings heute so gut wie alle relevanten Websites JavaScript oder ähnliche Skriptsprachen verwenden, schränkt dies die Verwendbarkeit des Browsers zum Surfen im World Wide Web praktisch bis zur Unbenutzbarkeit ein. Um außerdem nicht gefälschten URLs aufzusitzen, dürfte man eigentlich Links grundsätzlich nicht mehr anklicken, sondern diese nur noch per Hand in die Adressleiste eingeben, um auch sicher auf der angegebenen Ziel-Site zu landen.

Damit ist der Internet Explorer derzeit praktisch nicht mehr zu verwenden, bis Microsoft die entsprechenden Lücken mit einem Update stopft. Wer auf die Sicherheit seiner persönlichen Daten und seines Rechners Wert legt, sollte daher besser auf einen anderen Webbrowser ausweichen. Nach derzeitigem Wissenstand relativ sicher im WWW unterwegs sind Sie beispielsweise mit der Open-Source-Websuite Mozilla oder deren Stand-alone-Browser Firefox. (jlu)