Serviceforen’s Weblog

Durch speziell manipulierte Webseiten können Angreifer über den Internet Explorer Schadcode einschleusen und ausführen. Entdeckt wurde dies durch Aviv Raff.

Es wird eine Cross-Zone-Lücke ausgenutzt, durch diese Lücke kann Webseiten Code anstatt in der Internet-Zone in der lokalen Zonen ausführt werden. Die Benutzer müssen allerdings dazu beitragen das die Lücke genutzt werden kann.

Eine Beispiel Webseite demonstriert die Lücke in dem sie den Windows-Taschenrechner aufruft.

Sobald der Benutzer die Webseite, mit aktiviertem “Liste der Links ausdrucken”, ausdruckt wird der Taschenrechner gestartet. Dabei ist es irrelevant ob man die Ausführung von aktiven Inhalten zulässt oder nicht.

Der Fehler tritt in der aktuellen Internet Explorer Version 7 auf Windows XP mit SP2 auf.

Sobald ein Benutzer eine Webseite ausdrucken möchte, nutzt der Browser ein lokales Skript, welches eine neue HTML Datei erzeugt. Die neu erstellte Seite wird dann gedruckt.

Das HTML enthält eine Kopf- und Fußzeile sowie das Hauptelement. Zusätzlich kann eine Liste der Links erstellt werden.
Das Problem besteht darin dass das lokale Skript die URLs nicht überprüft, der URL-Code wird direkt übernommen.

Lokale Skripte vom Internet Explorer laufen meist in der Internet-Zone, das Skript zum ausdrucken allerdings in der lokalen Zone. Dies reißt die Sicherheitslücke auf und ermöglicht JavaScript mit beliebigen Code auf den Rechner des Benutzers einzuspielen.

Das Problem besteht auch bei der Beta vom Internet Explorer 8.

Unter Windows XP kann man belieben Code ausführen, unter Windows Vista mit aktivierter Benutzerkontensteuerung (UAC) ist nur das ausspähen von Informationen möglich.

Solange kein Patch von Microsoft bereitgestellt wird sollten Benutzer auf das ausdrucken mit aktiver Linkliste verzichten.

Diskussion zur Nachricht

Paypal überlegt derzeit wie man sich besser vor Phishing schützen kann.

Eine Maßnahme wäre zum Beispiel ältere Browser ohne Phishing-Schutz zu blockieren. Paypal setzt verschiedene Sicherungsmaßnahmen ein um die Nutzer vor Phishing-Attacken zu bewahren.

In einem Whitepaper vom Paypal Chief Information Security Officer Michael Barrett und Senior Director of Risk Management Dan Lavy wird über die Maßnahmen beraten.

Weiterhin wird in dem Whitepaper erläutert das man beispielsweise Nutzern nur noch signierte E-Mails von Servern mit DomainKeys- und Sender-Policy-Framework-Unterstützung (SPF) zustellen möchte.
Diese Variante würde es den Providern ermöglichen Phishing E-Mails direkt auszufiltern ohne das sie an den Nutzer weitergeleitet werden.

Eine andere Sicherungsmaßnahme sind EV-SSL-Zertifikate (Extended Validation Secure Sockets Layer). In neueren Browsern, zum Beispiel der Internet Explorer 7 oder Firefox 3, werden die Adresszeilen, von Seiten mit diesem Zertifikat, grün gefärbt.

Als weitere Lücke wurde die Authentifizierung ins Auge gefasst. Das Problem hier besteht darin das die geklauten Daten Zugriff auf das Paypal-Konto erlauben.
Paypal will dies mit Tokens verhindern die Einmal-Passwörter liefern. Allerdings sind auch diese anfällig.

Als letztes möchte Paypal ältere Browser ohne aktiven Phishing-Schutz ausschließen. Derzeit gelten der Internet Explorer 7, Firefox und Opera ab Version 9.25 als sicher. Der Safari von Apple bietet derzeit kein Phishing-Schutz.

Zudem können weitere Webbrowser ausgeschlossen werden. Webbrowser vom iPhone, Nintendos Wii oder DS sind solche.
Das Problem besteht darin das die Browser zum Beispiel nicht vollständige Adresszeile anzeigen und Sicherheitsmechanismen fehlen.
Dies wurde auf der Usability, Psyschology, and Security Conference 2008 in San Francisco durch Forscher der University of California in einem Vortrag erläutert.

Paypal hat gegenüber ZDnet dementiert, das Apples Safari-Browser ausgesperrt werden soll. Dort wird eine Paypal Email zitiert: “Wir haben absolut nicht die Absicht, aktuelle Browser von unserer Webseite auszusperren, einschließlich Apples Safari.“

Diskussion zur Nachricht

Microsoft hat heute die erste deutsche Beta des Internet Explorer 8 veröffentlicht.

Anfang März wurde die englische Version veröffentlicht. Nun sind 2 lokalisierte Versionen erschienen, deutsch und chinesisch.

Die deutsche Fassung des Internet Explorer 8 Beta 1 ist laut den Entwicklern auf dem gleichen stand wie die englische Version. Somit können alle neuen Funktionen genutzt und getestet werden.

Die Beta Version des IE8 ist hauptsächlich für Webentwickler gedacht. Diese können Ihre Websites auf den neuen Browser anpassen und optimieren.

Download des IE8 Beta 1 (deutsch)

Diskussion zur Nachricht

Microsoft kündigt acht Sicherheits-Updates für den kommenden Patchday an. Unter den acht Updates sind 5 die kritische Sicherheitslücken beheben.

Diese Updates betreffen Project, Windows, VBScript und den Internet-Explorer 5, 6 und 7.

Alle 5 Lücken werden als kritische eingestuft da das einschleusen und aus ausführen von schadhaftem Code möglich gemacht wird.

Die drei anderen Updates betreffen Visio und Windows. Erstmals taucht der Windows Server 2008 mit gleich 2 kritischen Sicherheitslücken auf.

Diskussion zur Nachricht

PayPal warnt aktuell davor den Safari Browser von Apple zu nutzen.

Der Browser bietet keinen Phishing Schutz wie z.B. der FireFox, Internet Explorer 7 oder Opera 9.1

PayPal empfiehlt in seinem Sicherheitscenter den Internet Explorer 7 als sicheren Webbrowser.

Der Internet Explorer 7 färbt dank Unterstützung des neuesten SSL Standards die Adresszeile automatisch ein. Sollte die Seite als sicher eingestuft werden ist die Adresszeile grün.

Ist sie unsicher wird die Adresszeile rot.

Der Safari Browser besitzt gar keinen Phishing Schutz und wird derzeit auch auf dem iPhone eingesetzt.

Ob der Internet Explorer die richtige Wahl ist muss jeder für sich selbst entscheiden.

Diskussion zur Nachricht