Open Source- Patch für den Internet Explorer

25. Dezember 2003, 12:23
13 Postings

Verhindert Betrug mit gefälschten URLs – bringt aber neue Probleme

In Microsofts Internet Explorer wurde in der vergangenen Woche ein Fehler entdeckt (Der Webstandard berichtete), der die Adressen von Websites verschleiert. Dabei genügt das Einfügen der Zeichenfolge %01 vor einem @-Zeichen, um eine danach folgende bösartige Web-Adresse zu verstecken.

Trick

Dieser Trick könnte ausgenützt werden, um als vertraulich bekannte Webseiten in der Adresszeile anzuzeigen, gesendeten Daten aber auf einen anderen Server zu leiten.

Wenn in Microsofts Internet Explorer, Microsoft Outlook Express oder Microsoft Outlook auf einen Hyperlink gezeigt wird, erscheint die Adresse der Website üblicherweise in der Statusleiste. Nachdem man auf einen Link geklickt hat, der im Internet Explorer geöffnet wird, erscheint die Adresse der Website in der Adressleiste von Internet Explorer und der Titel der Webseite in der Titelleiste.

Spoofing

Böswillige Benutzer könnte jedoch einen Link zu einer gefälschten ("Spoof"-) Website erstellen, wobei die Adresse oder die URL eine legitime Website in der Statusleiste, Adressleiste oder Titelleiste anzeigt.

Kein Patch von Microsoft

Microsoft selbst hat bisher nur eine Beschreibung, wie das Problem in den meisten Fällen verhindert werden kann, öffentlich gemacht. Der Softwarekonzern hat jedoch noch keinen Patch zur Verfügung gestellt.

Nun hat Openwares einen Patch zum Download bereitgestellt, auch der Source Code kann heruntergeladen werden.

Obacht!

Dieser stellt aber selbst offensichtlich ein Sicherheitsrisiko, wie heise online durch einen Blick auf den Source Code herausgefunden haben will: Überlange URLs (ab 500 Zeichen) können nach Aufspielen des Patches zu einem Buffer Overflow führen, dies führt nicht nur zum Absturz des Browsers sondern kann auch zur Einschleusung von Code-Teilen auf einen verwundbaren Rechner benutzt werden. Von der Benutzung des Patches ist also vorerst abzuraten.

Browser-Tests

Ob auch Ihr Browser von dem Problem betroffen ist, können Sie hier testen.

Auch bei Openwares finden sich zwei Tests, die Microsoft oder Paypal Seiten vortäuschen. (kk)

  • Artikelbild
    montage: webstandard
Share if you care.