Lücke im Internet Explorer: Angreifer können Mausbewegungen ausspähen

Das Sicherheitsunternehmen Spider.io hat die Lücke Microsoft schon im Oktober gemeldet. Ein Angreifer kann darüber alle Mausbewegungen eines Nutzers tracken – nicht nur im Browser, sondern auch auf dem Desktop. Microsoft plant derzeit keinen Patch für die Lücke, untersucht sie aber.

von Stefan Beiersmann 0


Microsoft prüft derzeit einen Bericht des Sicherheitsunternehmens Spider.io, das behauptet, eine Zero-Day-Lücke im Internet Explorer entdeckt zu haben. Die Schwachstelle soll es einem Angreifer erlauben, alle Bewegungen des Mauszeigers eines Anwenders zu verfolgen, selbst wenn das Browserfenster minimiert ist.

Eigenen Angaben zufolge hat Spider.io das Leck schon vor Monaten gefunden. Microsoft habe man am 1. Oktober darüber informiert. Der Fehler bedrohe vor allem die Sicherheit virtueller Keyboards, die beispielsweise benutzt werden, um PINs und TANs in Banking-Software einzugeben. Betroffen seien alle Versionen des Microsoft-Browsers seit IE6.

“Ein Angreifer kann Zugriff auf die Bewegungen des Mauszeigers erhalten, in dem er einfach eine Display-Anzeige auf einer beliebigen Website kauft”, warnte das Sicherheitsunternehmen. Zwei Werbefirmen nutzen laut Spider.io die Anfälligkeit schon aus, um die Online-Aktivitäten von Nutzern zu verfolgen.

Die Öffentlichkeit hat Spider.io nun informiert, da Microsoft noch keinen Patch bereitgestellt habe. “Obwohl das Microsoft Security Research Center die Schwachstelle im Internet Explorer eingeräumt hat, haben sie erklärt, es sei nicht geplant, die Lücke in den aktuellen Versionen des Browsers zu schließen”, teilt die Sicherheitsfirma mit. “Es ist wichtig, dass Nutzer des Internet Explorer auf die Anfälligkeit und deren Folgen aufmerksam gemacht werden.”

Dean Hachamovitch, der für den Browser zuständige Vizepräsident bei Microsoft schreibt dagegen: “Von dem, was wir bisher wissen, hat das Problem mehr mit der Konkurrenz zwischen Analytics-Firmen zu tun, als mit der Sicherheit von Verbrauchern. Wir arbeiten aktiv daran, dieses Verhalten in IE anzupassen.” Andere Browser enthielten ähnliche Funktionen. Über die weitere Entwicklung der Untersuchungen bei Microsoft will er zu gegebener Zeit im IE-Blog informieren.

Peinlich ist die Lücke auch deshalb, weil sich Microsoft mit Intenret Explorer 10 als vehementer Verbraucherschützer gibt, indem es die Funktion Do-Not-Track als Standardeinstellung festgelegt hat. Die stieß auf heftige Kritik bei US-Werbefirmen und Webunternehmen, unter anderem Yahoo, erntete aber Zustimmung bei Verbraucher- und Datenschützern sowie der EU.

In diesem Video demonstrieren Mitarbeiter von Spider.io die Funktionsweise des Exploits.

[mit Material von Steven Musil, News.com]

Tipp: Kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit 15 Fragen auf ITespresso.de.

ITespresso für mobile Geräte
Android-App Google Currents App for iOS

avast! Antivirus

Mehr als 200 Millionen Nutzer vertrauen avast! beim Schutz Ihrer Geräte - mehr als jedem anderen Antiviren-Programm. Und jetzt ist avast! noch besser. Jetzt herunterladen!

Möchten nicht auch Sie wissen, wie zufrieden andere Anwender mit der Nutzung ihrer CRM-Anwendung imSaaS-Modell sind, warum sie sich dagegen entschieden haben oder sich gar nicht damit beschäftigen wollen? Diesen und anderen Fragen geht Hassan Hosseini von The-Industry-Analyst.com in Kooperation mit dem Herausgeber von silicon.de in der aktuellen Umfrage zur CRM Nutzung als "Software as a Service" in Deutschland nach.

Jetzt teilnehmen!

Letzter Kommentar




0 Antworten zu Lücke im Internet Explorer: Angreifer können Mausbewegungen ausspähen

Hinterlasse eine Antwort

  • Erforderliche Felder sind markiert *,
    Deine E-Mail-Adresse wird nicht veröffentlicht.

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>