Original-URL des Artikels: http://www.golem.de/news/auch-ausserhalb-des-browsers-internet-explorer-verraet-mausbewegungen-1212-96327.html    Veröffentlicht: 12.12.2012 17:56

Auch außerhalb des Browsers

Internet Explorer verrät Mausbewegungen

Webseiten können im Internet Explorer Mausbewegungen abfragen, auch solche, die außerhalb des Browserfensters gemacht werden. Angreifer könnten damit beispielsweise Eingaben auf virtuellen Tastaturen abfangen.

Das Webanalyse-Unternehmen Spider.io hat eine Sicherheitslücke in Microsofts Browser Internet Explorer entdeckt: In den Versionen 6 bis 10 können Webseiten die Bewegungen des Mauspfeils überall auf dem Bildschirm überwachen, selbst dann, wenn das Fenster des Browsers minimiert ist.

Spider.io hat nach eigenen Angaben Microsoft bereits am 1. Oktober 2012 über das Problem informiert. Ein Mitarbeiter aus Microsofts Security Research Center habe das Problem zwar bestätigt, aber zugleich angegeben, dass es keine Pläne gebe, die Sicherheitslücke zeitnah zu schließen.

Laut Spider.io nutzen mindestens zwei Webanalyse-Unternehmen die Sicherheitslücke bereits aus, was die Sicherheit virtueller Tastaturen untergräbt, weshalb das Unternehmen an die Öffentlichkeit geht. Virtuelle Tastaturen werden mitunter verwendet, um sicherzugehen, dass Eingaben nicht per Keylogger abgefangen werden können.

Das Problem besteht in der Funktion fireEvent(), mit der Webentwickler eigene Ereignisse auslösen können. Dabei kann jederzeit die Cursor-Position abgefragt werden.

Unter iedataleak.spider.io/demo stellt Spider.io eine Demo bereit. Der entsprechende Code wurde in einem Blogeintrag veröffentlicht.

Nachtrag vom 13. Dezember 2012, 15:15 Uhr

Mittlerweile hat sich Microsoft offiziell zu dem Bericht geäußert: "Wir untersuchen derzeit den Fall. Aktuell gibt es keine Berichte zu gezielten Angriffen oder betroffenen Anwendern. Sobald weitere Informationen vorliegen, werden wir diese bereitstellen und angemessene Maßnahmen ergreifen, unsere Kunden zu schützen."  (ji)


Verwandte Artikel:
Internet Explorer: Microsoft will verräterische Mausbewegungen abstellen   
(14.12.2012 08:15, http://www.golem.de/news/internet-explorer-microsoft-will-verraeterische-mausbewegungen-abstellen-1212-96358.html)
Samsungs Galaxy S3: Kritische Sicherheitslücke in Android-Smartphones mit Exynos   
(17.12.2012 07:28, http://www.golem.de/news/samsungs-galaxy-s3-kritische-sicherheitsluecke-in-android-smartphones-mit-exynos-1212-96391.html)
Südkorea: Politiker will Microsofts Browser-Dominanz beenden   
(20.11.2012 17:17, http://www.golem.de/news/suedkorea-politiker-will-microsofts-browser-dominanz-beenden-1211-95829.html)
Adobe: Patch schließt gefährliche Sicherheitslücken im Flash Player   
(12.12.2012 09:10, http://www.golem.de/news/adobe-patch-schliesst-gefaehrliche-sicherheitsluecken-im-flash-player-1212-96297.html)
Browser: preventDefault() ermöglicht Passwortklau   
(04.12.2012 09:28, http://www.golem.de/news/browser-preventdefault-ermoeglicht-passwortklau-1212-96106.html)

© 2014 by Golem.de