• IT-Karriere:
  • Services:

Internet Explorer verschleiert wahre Web-Adressen

Microsoft bietet bislang keinen Patch zur Abhilfe an

Im Internet Explorer wurde ein Fehler entdeckt, um die tatsächliche URL in der Adresszeile zu verschleiern und vorzugeben, eine ganz andere Webseite zu besuchen. Damit können Anwender dazu gebracht werden, sensitive Daten an eine bösartige Webseite zu übermitteln und dabei in den Glauben versetzt werden, diese Daten an eine vertrauenswürdige Seite zu senden.

Artikel veröffentlicht am ,

Der Fehler tritt mindestens im Internet Explorer 6.0, womöglich aber auch in früheren Versionen des Browsers auf. So genügt das Einfügen der Zeichenfolge %01 vor einem @-Zeichen, um die anschließende bösartige Web-Adresse zu verstecken. Um etwa die URL http://www.vertrauliche_Seite.de anzeigen und darüber die betrügerische Homepage aufrufen zu lassen, würde die Beispiel-URL folgendermaßen aussehen: http://www.vertraulich.de%01@boesartig.de/seite.html.

Stellenmarkt
  1. Fachhochschule Südwestfalen, Iserlohn
  2. VerbaVoice GmbH, München

Angreifer können diesen Trick nutzen, um so etwa eine als vertraulich bekannte Webseite in der Adresszeile anzeigen zu lassen, dabei aber die gesendeten Daten auf ganz andere Server zu leiten. Der Anwender bemerkt das nur schwer, weil die Adresszeile eben Teilinformationen der URL nicht anzeigt.

Der Entdecker des Sicherheitslecks "Zap The Dingbat" bietet auf seiner Webseite einen Beispielcode an, der zeigt, welche Folgen das Sicherheitleck hat. Die Beispiel-URL zeigt eine vermeintliche Microsoft-Homepage, wobei sich die tatsächlichen Daten natürlich nicht auf einem Microsoft-Server befinden.

Wie bereits am 9. Dezember 2003 berichtet, lässt Microsoft die monatlich geplanten Sicherheits-Patches im Dezember ausfallen, obgleich bereits im November 2003 abermals gefährliche Sicherheitslecks im Internet Explorer entdeckt wurden, für die bislang keine Patches bereitstehen. Gegenüber dem US-Magazin News.com räumt Microsoft ein, dass in diesem Monat einfach keine Patches fertig geworden sind.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. (u. a. 860 Evo 500 GB SSD für 74,00€, Portable T5 500 GB SSD 86,00€, Evo Select microSDXC 128...

MH 14. Feb 2004

Diese Bastelware (Open Source) hat es immerhin fertiggebracht im Server Sector...

Gratis-Zugangstool 06. Jan 2004

Der Internet Explorer ist der beste Browser auf dem Markt! Da kann diese OpenSource...

Fox 18. Dez 2003

und wer fleissig andre Newsletter liest, weiss auch, dass auch Mozilla und Firebird davon...

dreadnougt 12. Dez 2003

Witziger Weise ist auch AOL mit seinem AOL-Browser davon betroffen, allerdings weisst der...

Blar 12. Dez 2003

Du wirst es nicht glauben aber viele meinen Internet oder Browser = Internet Explorer...


Folgen Sie uns
       


Asus Zephyrus G14 - Hands on (CES 2020)

Das Zephyrus G14 von Asus ist ein Gaming-Notebook, das nicht nur gute Hardware bietet, sondern ein zusätzliches LED-Display auf der Vorderseite. Darauf können Nutzer eigene Schriftzüge, Logos oder Animationen anzeigen lassen.

Asus Zephyrus G14 - Hands on (CES 2020) Video aufrufen
Nitropad im Test: Ein sicherer Laptop, der im Alltag kaum nervt
Nitropad im Test
Ein sicherer Laptop, der im Alltag kaum nervt

Das Nitropad schützt vor Bios-Rootkits oder Evil-Maid-Angriffen. Dazu setzt es auf die freie Firmware Coreboot, die mit einem Nitrokey überprüft wird. Das ist im Alltag erstaunlich einfach, nur Updates werden etwas aufwendiger.
Ein Praxistest von Moritz Tremmel und Sebastian Grüner

  1. Nitropad X230 Nitrokey veröffentlicht abgesicherten Laptop
  2. LVFS Coreboot-Updates sollen nutzerfreundlich werden
  3. Linux-Laptop System 76 verkauft zwei Laptops mit Coreboot

Nasa: Boeing umging Sicherheitsprozeduren bei Starliner
Nasa
Boeing umging Sicherheitsprozeduren bei Starliner

Vergessene Tabelleneinträge, fehlende Zeitabfragen und störende Mobilfunksignale sollen ursächlich für die Probleme beim Testflug des Starliner-Raumschiffs gewesen sein. Das seien aber nur Symptome des Zusammenbruchs der Sicherheitsprozeduren in der Softwareentwicklung von Boeing. Parallelen zur Boeing 737 MAX werden deutlich.
Von Frank Wunderlich-Pfeiffer

  1. Nasa Boeings Starliner hatte noch einen schweren Softwarefehler
  2. Boeing 777x Jungfernflug für das größte zweistrahlige Verkehrsflugzeug
  3. Boeing 2019 wurden mehr Flugzeuge storniert als bestellt

Mythic Quest: Spielentwickler im Schniedelstress
Mythic Quest
Spielentwickler im Schniedelstress

Zweideutige Zweckentfremdung von Ingame-Extras, dazu Ärger mit Hackern und Onlinenazis: Die Apple-TV-Serie Mythic Quest bietet einen interessanten, allerdings nur stellenweise humorvollen Einblick in die Spielebrache.
Eine Rezension von Peter Steinlechner

  1. Apple TV TVOS 13 mit Mehrbenutzer-Option erschienen

    •  /