Spoofing-Lücke im Internet Explorer – Fehler kein Problem?

Sicherheitsexperten haben einen bisher unbekannten URL-Spoofing-Trick für den Internet Explorer 6.0 entdeckt. Microsoft bestätigt das, behauptet jedoch, das sei kein Sicherheitsproblem. Fest steht, dass der Trick unter Windows 2000 und Windows XP mit Service Pack 1 funktioniert – geschützt ist nur, wer das Service Pack 2 (SP 2) für XP installiert hat.
Durch das Spoofing-Loch könnten User dazu verleitet werden, einem Link zu folgen, der auf eine bösartige Website führt. Der Besuch einer solchen Seite reicht zum Beispiel aus, um einen Trojaner installiert zu bekommen. Auch Phishing-E-Mails bedienen sich solcher Spoofing-Tricks, um vertrauenswürdig zu erscheinen und um an Kreditkartennummern und Passwörter zu gelangen.

Es müssten jedoch einige Voraussetzungen gleichzeitig erfüllt werden, um Nutzer durch den jetzt entdeckten Spoofing-Trick hereinzulegen, schreibt  Microsoft in einem E-Mail-Statement. “Ein Angreifer müsste einen User dazu verleiten eine bestimmte Website zu besuchen und dort einen Link anzuklicken, der auf der URL basiert, die in der Statusleiste angezeigt wird. Auf der Bestimmungsseite muss der Anwender dann beispielsweise vertrauliche Bankinformationen eingeben – Voraussetzung ist, er merkt nicht, dass die URL in der Adressleiste nicht mit der URL übereinstimmt, die er eigentlich besuchen wollte.”

Zuvor hatte der Security-Experte Benjamin Tobias Franz auf der Mailing-Liste Bugtraq vor der möglichen Sicherheitslücke gewarnt. Microsoft empfiehlt den Anwendern, stets zu überprüfen, ob die URL in der Adressleiste mit der angesteuerten Website übereinstimmt. Bisher ist nur XP mit SP 2 nicht von dem Problem betroffen – deshalb will Redmond jetzt prüfen, “ob ähnliche Änderungen auch in früheren Windows-Versionen implementiert werden können”.