Glauben Sie an Geister? Stellen Sie sich ein unsichtbares Script vor, das Ihnen heimlich folgt, während Sie surfen – selbst nachdem Sie die URL 1000 Mal gewechselt haben. Und dieser Geist sieht alles was Sie machen: wohin sie surfen, was Sie dort eintippen (Passwörter eingeschlossen) und er errät auch Ihren nächsten Schritt.

Der Fehler liegt anscheinend in einer ungenügenden Prüfung der Sicherheitsbestimmungen bei der Fenstereigenschaft “location” im Internetexplorer 6. Mit einigen Tricks lässt sich diese Schwachstelle auch im IE 7 und 8 reproduzieren. Mit der Prüfung der Domänengrenzen soll eigentlich sichergestellt werden, dass Seite A nicht mitlesen kann, was in der Seite B eingegeben wird.

Anscheinend ist auch der beliebte Browser FireFox nicht unbedingt gegen diese Sicherheitslücke immun (laut Sicherheitsexperte Nate McFeters).

Einen wirklichen Schutz gibt es bis jetzt nicht. Laut heise.de sollte jedoch ein aktueller Firefox mit dem AddOn “noScripts” relativ gut schützen

Links:

Quellartikel: heise.de
Demo: http://www.ph4nt0m.org-a.googlepages.com/PSTZine_0×02_0×04.txt

Verwandte Artikel

• Zensur? Nein – wir wollen Kinder schützen… (0)
• Wordpress 2.6.2 – Sicherheitslücke (0)
• VLC Media Player – kritische Sicherheitslücke (0)
• VLC “Video is loading…” – kein Abspielen des Videos (24)
• Skript/ Leitfaden Internetrecht zum kostenlosen Download (2)