Enthüllung sensibler Informationen

Sicherheitslücke in Internet Explorer 7 und 8

Chris Evans hat eine Schwachstelle in Internet Explorer gemeldet.

Durch einen Fehler in "window.onerror" könnten Angreifer sensible Daten aus Microsofts Browser Internet Explorer 7 und 8 extrahieren. Die Sicherheitslücke wird als nicht kritisch eingestuft. Dennoch ist der Bug laut Evans Blog schon seit 2006 bekannt und hat sich auch in Firefox ausnutzen lassen. Microsoft wurde angeblich schon im Jahre 2008 informiert. Im Oktober 2010 entschloss sich Evans nun für ein so genanntes "Full Disclosure".

Die Schwachstelle lässt sich unter einem Windows XP SP3 auf dem aktuellen Stand mit Internet Explorer 7 und 8 reproduzieren. Ein Update steht derzeit nicht zu Verfügung. Anwender des Browsers sollten nur vertrauenswürdige Webseiten besuchen. (jdo)