DVB-Cube BETA <<< Das deutsche PC und DVB-Forum >>>

PC-Ecke => # Security Center => Thema gestartet von: bladel am 01 November, 2004, 10:35

Titel: Neuer URL-Spoofing-Trick im Internet Explorer
Beitrag von: bladel am 01 November, 2004, 10:35

Im Internet Explorer wurde ein weiterer Fehler entdeckt, mit dem es möglich ist, die in der Statusleiste angezeigte URL zu fälschen. In dem auf Bugtraq veröffentlichten Beispiel erscheint beim Berühren beziehungsweise Überfahren eines Links mit dem Mauszeiger in der Statuszeile www.microsoft.com. Der Klick darauf führt allerdings zu www.google.com. Der Fehler liegt offenbar in der Verarbeitung von Links, die in Tabellen verschachtelt sind:

<table><tr><td>
[url=http://www.google.com/]Click here</td></tr></table> (http://www.microsoft.com/)

Immerhin erscheint beim tatsächlichen Aufruf der Seite in der Adresszeile die richtige URL. Allerdings kann die Erkenntnis -- die falsche Seite besucht zu haben -- in bestimmten Fällen zu spät kommen, insbesondere dann, wenn die besuchte Webseite so präpariert ist, dass sie ohne Zutun des Anwenders durch weitere Sicherheitslücken Trojaner und dergleichen auf dem Rechner installiert. Derzeit stehen aber für alle so ausnutzbaren und bekannten Schwachstellen im Internet Explorer Patches bereit. Zudem ist der Fehler bei der Anzeige der URL unter Windows XP mit Service Pack 2 beseitigt.

Auf Bugtraq diskutiert man derweilen auch darüber, ob es sich um ein Feature handelt oder einen Fehler. Das Sicherheitsportal SecurityTracker zitiert zudem den Sicherheitsspezialisten Thor Larholm von PivX Solutions. Ihmzufolge sei die Möglichkeit, die Statuszeile zu manipulieren, eine Funktion, die viele Browser bieten würden. Diese können über die windows.status-Eigenschaften definiert werden. - www.heise.de

Titel: Re:Neuer URL-Spoofing-Trick im Internet Explorer
Beitrag von: Jürgen am 01 November, 2004, 12:58

Ich denke, die Nutzer jedes Browsers wären froh, eine Option zu haben, jegliche Manipulation der Statusleiste explizit zu verbieten.  Es ist nämlich absolut nicht notwendig, dort z.B. Laufschriften einblenden zu lassen oder ähnlichen Unfug.
Ebenso darf natürlich keine un- oder kaum merkliche Verkürzung stattfinden.
Täuschung der Nutzer ist nie ein Feature, sondern kriminell, wer das durch automatische Funktionen der Browser-Software erst ermöglicht, leistet Beihilfe.