Microsoft will Spoofing-Hole im Internet Explorer stopfen

Microsoft wird ein Update für den Fehler im Internet Explorer veröffentlichen, über den Nutzer unwissentlich auf eine Hackerseite mit bösartigen Code geleitet werden können. Die dänische Sicherheitsfirma Secunia hatte im Dezember den Fehler veröffentlicht, über den die Adresszeile im Browser gefälscht werden kann. Nachdem die Dänen Mitte der Woche einen weiteren Fehler bekannt gaben, mit dem bösartige Dateien beim Herunterladen getarnt werden können, will Redmond mit einem Patch reagierwn, legte aber bislang noch keinen Zeitplan vor.
Das Sicherheitsupdate beseitig aber noch mehr als das Sicherheitsleck. Damit wird ein Feature deaktiviert, mit der Username und Passwort im Link mitübertragen werden. Manche Anbieter nutzen diese Funktion, um Usern bequemen Zugang zu passwortgeschützten Seiten zu gewähren – eine nicht weit verbreitete Funktion. Dieser Passwort-Teil des Codes dient nicht zur Lokalisierung einer Adresse. Und so können Hacker das echte Ziel des Links verbergen.  Die URL www.guteseite.de@http://boeseseite.de erscheint im Browser dann als www.guteseite.de. Denn der Browser stellt alles was rechts von dem ‘@’ nicht mehr dar. Der User wird aber dennoch auf ‘boeseseite’ verlinkt.

Auf Seiten, auf denen Username und Passwort mitverlinkt sind, wird dann die Fehlermeldung “invalid syntax error” erscheinen. Ein Microsoft-Sprecher sagte gegenüber amerikanischen Medien: “Wir sind uns im Klaren darüber, dass sich mehr und mehr User sorgen wegen dieses Lecks machen.” Das Unternehmen wolle vor allem den Schaden eindämmen, aber auf der anderen Seite den User nicht einschränken. “Es ist eine Schwierige Balance.”