Phishing-Lücke im Internet Explorer entdeckt - Fehlerhaftes DHTML-Edit-Control sorgt für Aufregung

[Newsbot]

Der US-amerikanische Sicherheitsspezialist aus Georgia Greyhat http://www.greyhat.com warnt vor einer neuen, bisher unbekannten Schwachstellen im Internet Explorer. Laut Greyhat ist es durch einen Fehler im ActiveX-Control "DHTML-Edit" möglich, beliebigen HTML- und JavaScript-Code in eine dargestellte Web-Seite einzuschleusen. Auch können Skript-Codes via "execScript()"-Funktion dem IE unbemerkt untergeschoben werden.

Auf einer Demoseite demonstriert der Security-Spezialist, wie das Control die Startpage von Google lädt und gleichzeitig JavaScript einschleust um das Google-Cookie anzuzeigen. Ebenso könnten diese Daten laut Grayhat aber auch an einen Angreifer übermittelt werden. Zusätzlich erlaubt der Fehler, den kompletten Inhalt einer Web-Site zu überschreiben, ohne dass die angezeigte Adresse sich ändert.

Der neu entdeckte Error im Internet Explorer wurde unter Windows XP mit SP1 und mit SP2 verifiziert. Geschlossen kann die Sicherheitslücke laut Grayhat nur durch das Deaktivieren von ActiveX und durch eine maximale Erhöhung der Sicherheitsstufe für die Internet-Zone werden. Das "DHTML-Edit-Control" war in der Vergangenheit schon mehrfach als "Achillesferse" von Windows zu unrühmlicher Berühmtheit gelangt. Auch verschiedene Tools zum Austricksen des Pop-up-Blockers unter Windows nutzten bisher diese Schwachstelle. (pte)