Der Gebrauch von Cookies erlaubt uns Ihre Erfahrung auf dieser Website zu optimieren. Wir verwenden Cookies zu Statistikzwecken und zur Qualitätssicherung. Durch Fortfahren auf unserer Website stimmen Sie dieser Verwendung zu.

Erfahren Sie mehr

05.04.2019 Microsoft Browser von Zero-Day-Lücken betroffen

Symbolbild

Sowohl der Internet Explorer als auch Microsoft Edge weisen Sicherheitslücken auf, die Kriminelle für Attacken ausnützen können. Microsoft hat bislang noch keine Patches veröffentlicht.

Der Sicherheitsforscher James Lee wurde auf die Sicherheitslücken in den Microsoft Browsern aufmerksam. Die Lücken ermöglichen Angreiferinnen und Angreifern, Sicherheitsmechanismen der Browser zu umgehen und so an sensible Daten der Betroffenen zu gelangen.

Das Sicherheitskonzept „Same Origin Policy“ - kurz SOP - sollte grundsätzlich verhindern, dass Informationen im Kontext einer bestimmten Domain auch auf Daten anderer Domains zugreifen können. Die aufgedeckten Sicherheitslücken ermöglichen es nun aber, genau dieses Sicherheitskonzept auszutricksen und ein sogenanntes Universal Cross Site Scripting (UXSS) durchzuführen. UXSS-Angriffe nutzen clientseitige Schwachstellen im Browser oder in Browsererweiterungen aus, um bösartige Codes auszuführen. Werden solche Schwachstellen gefunden, ist das Verhalten des Browsers beeinträchtigt und seine Sicherheitsfunktionen können umgangen oder sogar deaktiviert werden. Um diese Art von Angriffen auszuführen, ist es jedoch notwendig, potentielle Opfer zuvor auf speziell präparierte Webseiten zu locken. Diese Webseiten enthalten Exploit-Codes, welche Daten von aktiven Login-Session oder Cookies von besuchten Webseiten stehlen.

Die Lücken wurden an Microsoft gemeldet, bislang blieb eine Reaktion des Unternehmens jedoch aus. Aktive Angriffe aufgrund dieser Sicherheitslücken sind derweil noch nicht bekannt. Nutzerinnen und Nutzer sollten dennoch kritisch und verantwortungsvoll im Umgang mit Webseiten sein.

Weitere Informationen

Datum der Veröffentlichung: 05.04.2019

Für den Inhalt verantwortlich:
  • A-SIT Zentrum für sichere Informationstechnologie – Austria