Passport-User sollen Sicherheitslücke schließen

Microsoft fordert per E-Mail registrierte Nutzer des Online-Authentifizierungsdienstes Passport auf, eine Sicherheitslücke im Internet Explorer zu schließen. Betroffen sind die Browser-Versionen 5.5 und 6.0.

Der Bug ist bereits seit November als "Cookie-Leck" bekannt (wir berichteten). Er ermöglicht es unter bestimmten Umständen, auf die Cookies anderer Benutzer zuzugreifen und dadurch vertrauliche Daten wie Kreditkartennummern und Passwörter einzusehen und zu ändern. Das funktioniert zum Beispiel über speziell manipulierte Internet-Adressen. So war es dem amerikanischen Programmierer Marc Slemko gelungen, mit Passport übermittelte Benutzerdaten abzufangen. Die Sicherheitslücke erlaubte es dem Angreifer in einem Zeitraum von fünf Minuten sämtliche Daten, die in dieser Zeit gesendet wurden, abzufangen. Als erste Reaktion hat Microsoft im November die in Passport integrierte elektronische Geldbörse (Wallet) deaktiviert. Seit kurzem ist diese nun wieder in Betrieb.

Betroffen sind die IE-Versionen 5.5 und 6.0, für die ein Patch zum kostenlosen Download bereitliegt. Ob Ihr Browser bereits mit dem richtigen Bugfix gesichert ist, können Sie auf einer Testseite von Passport überprüfen. (fkh)