IE Nutzer können ausspioniert werden

Durch einen Bug im aktuellen Internet Explorer können Dritte mittels präparierter Webseiten die Adresszeile und Suchanfragen von Nutzern auslesen. Obwohl der IE inzwischen von Microsoft selbst als veraltet bezeichnet wird, soll es einen entsprechenden Bugfix geben, der das Problem behebt.

So funktioniert der Bug

Nachgewiesen wurde der Bug bzw das Sicherheitsproblem von Manuel Caballero, einem Sicherheitsforscher. Er entdeckte, dass ein HTML object tag mit eingebundenem JavaScript beim IE dazu in der Lage ist, die Adresszeile des Browsers komplett auszulesen, inklusive Suchanfragen. In seinem Beweisvideo führter vor, wie er eine URL ins Adressfeld des IE eingibt, und diese Adresse auf seiner Demoseite sofort angezeigt wird. Die Demoseite unterbricht also den Ladevorgang, und gibt statt dessen die URL aus. Ein Angreifer mit wesentlich mehr krimineller Energie könnte dieses Verhalten dazu benutzen, den Nutzer auf eine komplett andere Webseite umzuleiten und so weiteren Schadcode zu verteilen.

Microsoft will Bugfix veröffentlichen

Trotz des hohen Alters des Internet Explorer wird er immer noch recht häufig verwendet, vor allem im geschäftlichen Umfeld, da hier oft nur der eingebaute IE verwendet werden kann, weil Firmen oft die Installation von Chrome, Firefox oder einem anderen, neuren und sicheren Browser nicht zulassen. Daher ist es kritisch dass dieser Bug entweder gefixt wird, oder zumindest bei Benutzung des IE auf den wesentlich neueren Edge verwiesen wird, der im Übrigen nicht von dieser Schwachstelle betroffen ist. Microsoft hat inzwischen angekündigt, dass der Fehler behoben werden soll und ein Patch im Rahmen der regulären Updates aufgespielt werden soll.

Fazit zum Internet Explorer Bug:

Der Internet Explorer (IE) ist veraltet - daran gibt es nichts zu rütteln - selbst Microsoft gibt dies zu und verweist auf den wesentlich neueren Edge. Wer immer noch mit dem IE surft, sollte sich überlegen, ob Edge, Chrome oder Firefox nicht doch eine Alternative wäre. Dieser Bug soll nun doch noch behoben werden, aber früher oder später wird IE EOL (end of life) sein, und es wird keine weiteren Bugfixes mehr geben.

Quelle:
heise

2017-11-02