Neues URL-Spoofing-Leck im Internet Explorer

SicherheitSicherheitsmanagement

Mit etwas Code lassen sich dem Anwender im Internet Explorer 6
gefälschte Links unterschieben.

Auf der Mailing-Liste Bugtraq wird von einem neuen URL-Spoofing-Leck im
Internet Explorer berichtet. Durch dieses wird bei Links in der
Statusleiste eine falsche URL angezeigt, um den Anwender in Sicherheit
zu wiegen. Klickt er den Link an, wird er jedoch auf eine andere Seite
geleitet; dort ließe sich durch andere Lecks im Browser beispielsweise
Code ausführen.

Der Beispielcode auf Bugtraq zeigt im Browser
einen Link zur Microsoft-Website. Der Anwender wird jedoch auf
http://www.malware.com/t-bill.html geführt, wobei eine Datei im
Wurzelverzeichnis der Festplatte platziert wird. Da es einen Redirect
auf die ursprünglich im Link versprochene Microsoft-Site gibt, bemerkt
der Anwender dies unter Umständen nicht einmal.

Ein Patch
existiert bisher noch nicht. (dd/mk).

Weitere Infos:

Bugtraq-Eintrag zum neuen Explorer-Leck

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen