Der Sicherheitsexperte Carlos Munoz hat im Internet Explorer eine Cross-Site-Scripting Lücke entdeckt. In solchen Fällen ist das normale Prozedere, dass sich Microsoft den vermeintlichen Bug ansieht und dann ein Update veröffentlicht, falls die Sicherheitslücke wirklich existiert.

Etwas anders ist es in diesem Fal. Das von Munoz gefundene Verhalten bestätigt Microsoft, bei dem Hacker in bestimmten Konstellationen einem Nutzer Skript-Code unterschieben können. Einen Patch wird es aber für den Internet Explorer, alle Version ab IE 8 sind betroffen, nicht geben. Denn das würde der Design-Idee des XSS-Filters, laut Microsoft widersprechen.

Seit Version 8 gibt Microsoft den XSS-Filter seinem Internet Explorer mit. Im Grunde geht er dabei so vor, dass er prüft, ob ein Request auf einer Webseite eine unmittelbare Skript-Code-Ausführung hervorruft. Geschieht das, greift der Filter ein, wenn die Skript-Code-Ausführung aus bleibt, ist nach den Kriterien des XSS-Filters alles in Ordnung und der Webseite wird vertraut.

Jetzt hat Munoz gezeigt, dass der Filter leicht ausgetrickst werden kann, wenn man es schafft, die Code-Ausführung zu verzögern. Hexadezimal-Kodierung von Zeichen, die offizieller Teil des HTML-Standards sind, bringt er als Beispiel. Die Code-Ausführung erkennt der XSS-Filter dann nicht, während der Browser brav seiner Arbeit nachgeht und den Code ausführt. Beispielsweise kann so ein Angreifer über einen präparierten Link auf den Computer des Nutzers eindringen, ohne dass der XSS-Filter Alarm schlägt.

(hs, hannover)

(siehe auch Chip News :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE