Samstag, 28. Juni 2008

One More Reason

Warnung vor der Internet Explorer von offizieller Seite (US-CERT)!

Glauben Sie an Geister? Stellen Sie sich ein unsichtbares Script vor, das Ihnen heimlich folgt, während Sie surfen – selbst nachdem Sie die URL 1000 Mal gewechselt haben. Und dieser Geist sieht alles was Sie machen: wohin sie surfen, was Sie dort eintippen (Passwörter eingeschlossen) und er errät auch Ihren nächsten Schritt.
[...]
Es war klar, dass es sich um eine Verletzung der Cross Domain Policy handelt, die sicherstellt, dass etwa eine Microsoft-Seite nicht mitlesen kann, was Sie auf einer Heise-Seite eintippen.
[...]
Mittlerweile gibt es eine Reihe von Demos, die zeigen, wie man die Barriere der Domänengrenzen durchbrechen und Caballeros Spionagefunktionen implementieren kann.
[...]
Das veranlasste das US-CERT zu einer Sicherheitswarnung vor Internet Explorer – in Version 6.
[...]
Damit implementierte er dann auch gleich eine einfache Demo mit einem primitiven Keylogger, der auch mit IE7 und den Betas von IE8 funktionieren soll. Und tatsächlich: Nach dem Aufruf seiner Demo-URL im Internet Explorer 7 auf einem Testsystem folgte uns sein Code hartnäckig über viele Sites hinweg und spionierte uns aus. Selbst nachdem wir von Hand eine Heise-URL eingetippt und aufgerufen hatten, griff sein "Caballero-Listener" alle Tastatureingaben ab und zeigte sie in einem entführten IFrame an.
[...]
... dass derzeit hunderttausende von Sites kompromittiert sind, bedeuten sie [diverse Demos der Sicherheitslücke, Anm. S-Man], dass man mit Microsofts Internet Explorer bis auf weiteres besser keine wichtigen Seiten mehr aufruft.


Ok, fairerweise muss man den letzten Absatz auch zitieren:
Ob der Umstieg auf die Konkurrenzprodukte wie Firefox wirklich schützt, muss sich erst noch zeigen. Der Sicherheitsexperte Nate McFeters hat den Geister-Vortrag gesehen und behauptet in seinem Blog, dass das Problem alle Browser beträfe. Vielleicht ist ja doch noch nicht alles aufgedeckt. Man kann jedoch ziemlich sicher davon ausgehen, dass eine Kombination von Firefox mit der Erweiterung NoScript wenig Angriffsfläche für derartige Attacken bietet.

Keine Kommentare: