zurück zum Artikel

Die Desktop-Suche diente einem Proof-Of-Concept-Exploit als Demonstration des Gefahrenpotenzials der Lücke im Stylesheet-Import des Internet Explorers.

Google hat den Online-Teil seiner Desktop-Suche derart verändert, dass sie sich nicht mehr für einen Proof-Of-Concept-Exploit zur vergangenen Woche gemeldeten Lücke im Stylesheet-Parser [1] des Internet Explorers nutzen lässt. Der Entdecker Matan Gillon demonstrierte am Beispiel der Desktop-Suche, wie sich durch die Sicherheitslücke vertrauliche Informationen gewinnen lassen.

Das eigentliche Problem im CSS-Parser des Internet Explorers bleibt hingegen vorerst ungepatcht. Dieses ermöglicht schadhaftem JavaScript-Code unerlaubte Inter-Domain-Zugriffe. Von den so gewonnenen Daten lassen sich allerdings nur die Teile auswerten, die eine CSS-Struktur mit geschweiften Klammern aufweisen. Diese lassen sich jedoch häufig über die URL-Parameter dynamischer Webseiten an geeigneten Stellen einschleusen.

Siehe dazu auch: (cr [2])

• Ungepatchter Fehler im Internet Explorer ermöglicht Datenspionage [3]

URL dieses Artikels:
https://www.heise.de/-154978

Links in diesem Artikel:
[1] https://www.heise.de/news/Ungepatchter-Fehler-im-Internet-Explorer-ermoeglicht-Datenspionage-154361.html
[2] mailto:cr@ct.de
[3] https://www.heise.de/news/Ungepatchter-Fehler-im-Internet-Explorer-ermoeglicht-Datenspionage-154361.html

Copyright © 2005 Heise Medien