Verfasst am: 18.12.2004 - 12:25 Titel: Phishing-Lücke im Internet Explorer entdeckt
Fehlerhaftes DHTML-Edit-Control sorgt für Aufregung.
Atlanta (pte, 17. Dezember 2004 15:51) - Der US-amerikanische Sicherheitsspezialist aus Georgia Greyhat warnt vor einer neuen, bisher unbekannten Schwachstellen im Internet Explorer. Laut Greyhat ist es durch einen Fehler im ActiveX-Control "DHTML-Edit" möglich, beliebigen HTML- und JavaScript-Code in eine dargestellte Web-Seite einzuschleusen. Auch können Skript-Codes via execScript()-Funktion dem IE unbemerkt untergeschoben werden.
Auf einer Demoseite demonstriert der Security-Spezialist, wie das Control die Startpage von Google lädt und gleichzeitig JavaScript einschleust um das Google-Cookie anzuzeigen. Ebenso könnten diese Daten laut Grayhat aber auch an einen Angreifer übermittelt werden. Zusätzlich erlaubt der Fehler, den kompletten Inhalt einer Web-Site zu überschreiben, ohne dass die angezeigte Adresse sich ändert.
Der neu entdeckte Error im Internet Explorer wurde unter Windows XP mit SP1 und mit SP2 verifiziert. Geschlossen kann die Sicherheitslücke laut Grayhat nur durch das Deaktivieren von ActiveX und durch eine maximale Erhöhung der Sicherheitsstufe für die Internet-Zone werden. Das "DHTML-Edit-Control" war in der Vergangenheit schon mehrfach als "Achillesferse" von Windows zu unrühmlicher Berühmtheit gelangt. Auch verschiedene Tools zum Austricksen des Pop-up-Blockers unter Windows nutzten bisher diese Schwachstelle.
Presseservice: Die obige Pressemeldung geben wir unverändert an Sie weiter. Die jeweilige Meldung liegt ausschließlich in der rechtlichen Verantwortung des jeweiligen Anbieters.
Du kannst keine Beiträge in dieses Forum schreiben. Du kannst auf Beiträge in diesem Forum nicht antworten. Du kannst deine Beiträge in diesem Forum nicht bearbeiten. Du kannst deine Beiträge in diesem Forum nicht löschen. Du kannst an Umfragen in diesem Forum nicht mitmachen.
