Phishing-Leck in Internet Explorer 7
Der Fehler ermöglicht die Verschleierung einer URL in Popup-Fenstern, wird aber als weniger kritisch eingestuft.
26. Oktober 2006
Eines der Ziele von Microsoft bei der Entwicklung von Internet Explorer 7 war, diesen sicher vor Phishing-Angriffen zu machen. Dieses Ziel hat man offensichtlich verfehlt. Wie die Sicherheitsexperten von Secunia herausgefunden haben, gibt es eine Möglichkeit für Phisher, dem Anwender eine falsche Adresse vorzugaukeln. Demnach kann eine manipulierte Webseite ein Popup öffnen, in dem anstelle der korrekten Adresse eine beliebige URL angezeigt wird – und damit den Anwender in Sicherheit zu wiegen.
Dies ist insbesondere deshalb fatal, weil Internet Explorer 7 ausnahmslos in jedem Fenster und Popup eine Adresszeile einblendet, um so die Sicherheit zu erhöhen. In früheren Versionen konnte ein Popup noch "anonym" gestartet werden. Wird nun die Adresse gefälscht, könnte ein Anwender genau deswegen vertrauensseliger sein.
Laut Microsoft würde eine Phishing-Attacke über eine bekannte Phishing-Site vom entsprechenden Phishing-Filter dennoch abgefangen. Ausserdem zeige der Browser die komplette URL an, sobald ins Fenster oder in die Adresszeile geklickt wird. Redmond wertet die Lücke deshalb als "weniger kritisch".
Dies ist insbesondere deshalb fatal, weil Internet Explorer 7 ausnahmslos in jedem Fenster und Popup eine Adresszeile einblendet, um so die Sicherheit zu erhöhen. In früheren Versionen konnte ein Popup noch "anonym" gestartet werden. Wird nun die Adresse gefälscht, könnte ein Anwender genau deswegen vertrauensseliger sein.
Laut Microsoft würde eine Phishing-Attacke über eine bekannte Phishing-Site vom entsprechenden Phishing-Filter dennoch abgefangen. Ausserdem zeige der Browser die komplette URL an, sobald ins Fenster oder in die Adresszeile geklickt wird. Redmond wertet die Lücke deshalb als "weniger kritisch".
Artikel kommentieren
