Unsichere Cookies im Internet Explorer

Microsoft warnt vor einer gravierenden Sicherheitslücke im Internet Explorer 5.5 und 6.0. Demnach können Unberechtigte Zugriff auf Cookies erlangen und deren Inhalt manipulieren.

In dem Sicherheitsbulletin des Software-Herstellers heißt es, dass Angreifer über eine speziell gestaltete URL auf dem PC des Anwenders gespeicherte Cookies auslesen und deren Inhalt verändern können. Normalerweise ist das nur den Websites gestattet, die auch die Cookies gesetzt haben. Diese Datenkrümel können durchaus sensible Informationen enthalten, was umso brisanter ist, wenn die Daten im Klartext abgelegt werden. Auf diese Weise fallen Hackern beispielsweise User-IDs, Passwörter oder Kreditkartennummern in die Hände.

Die Lücke öffnet sich ebenfalls über HTML-formatierte Mails, die der User mit Outlook (Express) öffnet. Da die Cookies über ein Skript ausgelesen werden, rät Microsoft, Active Scripting in den Sicherheitseinstellungen des Internet Explorer zu deaktivieren, bis ein Patch verfügbar ist. (tri)