Datendiebe machen sich Sicherheitslücke zunutze
Sicherheitsexperten haben entdeckt, dass eine Sicherheitslücke im aktuellen Internet Explorer von Microsoft das Stehlen von Login-Daten einer bestehenden Online-Sitzung ermöglicht.
Das pikante daran: Diese Sicherheitslücke ist seit einem Jahr bekannt!
Ein Sicherheitsforscher der Firma Google hat sich der Browserproblematik angenommen und diese mit unterschiedlichen Demoszenarien näher beleuchtet. Über eine CSS-Eigenschaft wird der sogenannte Exploit-Code, die schädlichen Programmcodezeilen, an den Opfer-Browser gebracht. Wird nun eine entsprechend präparierte Seite in einen anfälligen Browser geladen, können die Sitzungsdaten von beispielsweise Webmailern wie Yahoo, web.de, GMX, Google Mail usw. gestohlen werden.
Folgendes Beispiel soll die Vorgehensweise der Datendiebe veranschaulichen:
Ein Angreifer versendet eine Email mit einem Link zu einer präparierten Webseite. Der Empfänger meldet sich an seinem Webmailer an. Öffnet nun das Opfer über den Link in der Email die entsprechend präparierte Webseite, erhält der Angreifer Zugriff auf das Email-Konto.Auch für Internetdienste wie Twitter oder Facebook sind solche Angriffsszenarien denkbar! Für Twitter gibt es nach Aussage der Sicherheitsexperten bereits Demoszenarien, welche diese Sicherheitslücke belegen.
Inzwischen haben alle Hersteller von Internetbrowsern, mit Ausnahme von Micrososft, reagiert und diese Sicherheitslücke in ihren Programmen geschlossen. Zuletzt hat im Juli 2010 die Mozilla Foundation ihre Produkte Firefox, Thunderbird und Seamonkey durch entsprechende Updates entschärft. Nur Micrososft lässt weiterhin auf ein Update warten.
Unsere Empfehlung:
- Keine Links aus Emails öffnen von denen Ihnen der Absender unbekannt ist.
- Verwenden Sie einen sicheren Internet-Browser
