Internet Explorer - Enthüllung sensitiver Informationen
PDF
eBookkritisch: Eine Sicherheitslücke in Internet Explorer 6 enthüllt sicherheitsrelevante Informationen an "msn.com" und "alexa.com".
|
Veröffentlichung
|
06.06.2003
|
|---|---|
|
Warnstufe
|
kritisch
|
|
Auswirkung
|
Enthüllung sensitiver Informationen
|
|
Angriffsweg
|
von extern
|
|
OS
|
Windows
|
|
Software
|
Microsoft Internet Explorer 6
|
Beschreibung
Eine Sicherheitslücke in Internet Explorer 6 enthüllt sicherheitsrelevante Informationen an "msn.com" und "alexa.com".
Dass der Browser Informationen weitergibt, wenn die Option "Verwandte Links anzeigen" aktiviert wurde, ist als "Feature" bekannt. Ein Bug führt jedoch dazu, dass auch nach dem Deaktivieren dieser Option Internet Explorer weiter Daten an "msn.com" und "alexa.com" übermittelt. Dies erfolgt jedes Mal, wenn eine Seite mit "Strg+R" aufgefrischt wird. Erst ein Neustart des Internet Explorers beendet dieses Verhalten.
Zu allem Überfluss betrifft dieses Verhalten auch SSL-Webseiten, wie mittlerweile feststeht. Die Tatsache, dass Informationen, die eigentlich durch SSL geschützt werden sollen, im Klartext an Dritte übermittelt werden, geht weit über ein Feature hinaus.
Internet Explorer sendet den gesamten URL an "msn.com" und "alexa.com", inklusive eventuell enthaltener Benutzernamen, Passworte, Session-IDs, Suchbegriffe, Pfadangaben und so weiter.
Die Sicherheitslücke ist für Internet Explorer 6 auf Windows 2000 und XP (auch mit allen Service Packs und Hotfixes) bestätigt.
Anmerkung: Es liegt allein in Microsofts Ermessen, an wen die übermittelten Informationen gehen. Microsoft könnte jederzeit beschließen, sie neben "alexa.com" auch noch anderen Parteien zukommen zu lassen.
Dass der Browser Informationen weitergibt, wenn die Option "Verwandte Links anzeigen" aktiviert wurde, ist als "Feature" bekannt. Ein Bug führt jedoch dazu, dass auch nach dem Deaktivieren dieser Option Internet Explorer weiter Daten an "msn.com" und "alexa.com" übermittelt. Dies erfolgt jedes Mal, wenn eine Seite mit "Strg+R" aufgefrischt wird. Erst ein Neustart des Internet Explorers beendet dieses Verhalten.
Zu allem Überfluss betrifft dieses Verhalten auch SSL-Webseiten, wie mittlerweile feststeht. Die Tatsache, dass Informationen, die eigentlich durch SSL geschützt werden sollen, im Klartext an Dritte übermittelt werden, geht weit über ein Feature hinaus.
Internet Explorer sendet den gesamten URL an "msn.com" und "alexa.com", inklusive eventuell enthaltener Benutzernamen, Passworte, Session-IDs, Suchbegriffe, Pfadangaben und so weiter.
Die Sicherheitslücke ist für Internet Explorer 6 auf Windows 2000 und XP (auch mit allen Service Packs und Hotfixes) bestätigt.
Anmerkung: Es liegt allein in Microsofts Ermessen, an wen die übermittelten Informationen gehen. Microsoft könnte jederzeit beschließen, sie neben "alexa.com" auch noch anderen Parteien zukommen zu lassen.
Lösung
Filtern Sie den Datenverkehr am Netzwerkperimeter, so dass keinerlei Daten mehr an "msn.com" und "alexa.com" übermittelt werden.
Vermeiden Sie die Benutzung der Option "Verwandte Links anzeigen" oder schließen Sie den Internet Explorer nach deren Benutzung jedes Mal.
Vermeiden Sie die Benutzung der Option "Verwandte Links anzeigen" oder schließen Sie den Internet Explorer nach deren Benutzung jedes Mal.
Gratis-Apps für Smartphones und Tablet-PCs
Holen Sie sich die kostenlosen TecChannel-Apps für
iPhone, iPad, Android, bada und Windows 7 Slate. Oder nutzen Sie mobil.tecchannel.de für alle Geräte.
