Geisterstunde – Durchbrechen der Domänengrenzen im Internet Explorer
Geschrieben von: tobbe in Internet, Tools, tags: Abfangen Passwörter, Browser, Demo, Domänengrenzen, Fenstereigenschaft, Firefox, Geister, Geisterstunde, heise, Internet, Internet Explorer, location, Manuel Cabarello, McFeters, noScripts, Paßwort, Schutz, Schwachstelle, Script, Sicherheitsbestimmung, Sicherheitsexperte, Sicherheitslücke, TrickOha, das was ich vorhin auf der Seite von heise.de gelesen habe, schockierte mich wirklich. Aber fangen wir doch erst einmal mit einem kleinen Zitat von Manuel Cabarello an:
Glauben Sie an Geister? Stellen Sie sich ein unsichtbares Script vor, das Ihnen heimlich folgt, während Sie surfen – selbst nachdem Sie die URL 1000 Mal gewechselt haben. Und dieser Geist sieht alles was Sie machen: wohin sie surfen, was Sie dort eintippen (Passwörter eingeschlossen) und er errät auch Ihren nächsten Schritt.
Der Fehler liegt anscheinend in einer ungenügenden Prüfung der Sicherheitsbestimmungen bei der Fenstereigenschaft “location” im Internetexplorer 6. Mit einigen Tricks lässt sich diese Schwachstelle auch im IE 7 und 8 reproduzieren. Mit der Prüfung der Domänengrenzen soll eigentlich sichergestellt werden, dass Seite A nicht mitlesen kann, was in der Seite B eingegeben wird.
Anscheinend ist auch der beliebte Browser FireFox nicht unbedingt gegen diese Sicherheitslücke immun (laut Sicherheitsexperte Nate McFeters).
Einen wirklichen Schutz gibt es bis jetzt nicht. Laut heise.de sollte jedoch ein aktueller Firefox mit dem AddOn “noScripts” relativ gut schützen 
Links:
Quellartikel: heise.de
Demo: http://www.ph4nt0m.org-a.googlepages.com/PSTZine_0×02_0×04.txt
Popularity: 15% [?]
Einträge (RSS)