Eine Lücke in Microsofts Browsern Internet Explorer und Edge hat der Sicherheitsforscher James Lee gefunden. Angreifer könnten aus der Ferne unter bestimmten Voraussetzungen das Umgehen eines Sicherheitsmechanismus und infolgedessen den Diebstahl mitunter vertraulicher Informationen durchführen. Die Bedrohung wurde vom Cyber Emergency Response Team des BSI (CERT-Bund) als "hoch" eingestuft. Patches gibt es derzeit nicht.

Im Detail erläutert der 20-jährige Lee die Angriffstechnik gegenüber The Hacker News. Er habe demnach einen Weg gefunden, das Browser-Sicherheitskonzept Same Origin Policy (SOP) auszuhebeln. Im Normalfall soll SOP verhindern, dass clientseitig im Kontext einer bestimmten Domain ausgeführte Skriptsprachen oder CSS auf Daten einer zweiten Domain zugreifen. Durch diese Sicherheitslücken sei es jedoch möglich, an SOP vorbei das so genannte Universal Cross Site Scripting (UXSS) durchzuführen.

Laut Lee müsste ein Angreifer, um die Lücken auszunutzen, seine Opfer zunächst auf eine eigens dafür eingerichtete, mit Exploit-Code präparierte Webseite lotsen. Da Microsoft bisher noch keine Updates veröffentlicht hat, bleibt Nutzern vorerst ein gesundes Misstrauen und der verantwortungsvolle, kritische Umgang mit Web-Inhalten als bester Schutzmechanismus.

(hv, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE