Sie erlaube es Angreifern demnach, Log-in-Daten von laufenden Verbindungen zu stehlen. “Im Internet Explorer 8 steckt eine üble Anfälligkeit”, schreibt Evans. Es sei ihm nicht gelungen, Microsoft davon zu überzeugen, einen Patch für die Schwachstelle zu entwickeln. Der Fehler ermögliche es, über eine manipulierte Website beispielsweise ein Twitter-Konto zu übernehmen.

Die Codelücke betrifft Evans zufolge möglicherweise auch andere Versionen des Microsoft-Browsers. Scheinbar handle es sich um eine Weiterentwicklung der Lücke, über die er im Dezember 2009 in seinem Blog Scarybeastsecurity berichtet habe. Microsoft sei der Fehler sogar schon seit 2008 bekannt.

Durch die Lücke könne ein Angreifer die Anmeldedaten einer schon authentifizierten Browsersitzung stehlen, so Rik Ferguson, Sicherheitsberater bei Trend Micro, in einem Blogeintrag. “Die Daten können dann missbraucht werden, um beliebige Inhalte zu veröffentlichen.” Laut Ferguson lässt sich die Schwachstelle einfach für alle Dienste ausnutzen, die, ähnlich wie Twitter, Kurz-URLs verwenden. In den Browsern Opera, Chrome, Firefox und Safari sei der Fehler schon behoben.

Im Juni hatte Microsoft den Google-Mitarbeiter Tavis Ormandy dafür kritisiert, dass er Microsoft nur fünf Tage Zeit gab, bevor er Details zu einer von ihm entdeckten Schwachstelle im Hilfe-Center von Windows XP veröffentlichte. Auch wenn Evans jetzt ebenfalls eine Lücke öffentlich macht, bevor Microsoft sie geschlossen hat, hat er dem Softwarekonzern offensichtlich mehr Zeit gegeben als sein Kollege Ormandy. Zudem scheint der Internet Explorer der einzige der fünf führenden Browser zu sein, der für die Schwachstelle noch anfällig ist.

Silicon-Redaktion

Recent Posts

OT-Security braucht zunächst Asset-Transparenz

Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…

1 Tag ago

Künstliche Intelligenz erreicht die Cloud

KPMG-Studie: 97 Prozent der Cloud-nutzenden Unternehmen verwenden KI-Dienste von Cloud-Anbietern.

2 Tagen ago

AI Act: Durchblick im Regulierungsdickicht

Bitkom veröffentlicht Online-Tool und Leitfaden zum KI-Einsatz in Unternehmen. Beide Angebote sind kostenlos.

2 Tagen ago

Coveo beschleunigt europäisches Wachstum durch Expansion in der DACH-Region

Neue Kunden sind unter anderem SAP, Conforama Schweiz, 11teamsports, Phillip Morris International, Baywa und Thalia.

3 Tagen ago

Britische Behörden setzen auf Oracle Cloud

Oracle schafft einheitliche Plattform für vier Ministerien und über 250.000 Beamte mit der Oracle Applications…

3 Tagen ago

Windows 10: Wer haftet für Datenschutz nach Support-Ende?

Der Grund: Geräte, die mit veralteter Software arbeiten, sind anfällig für Cyberangriffe und Datenlecks.

3 Tagen ago