Auch außerhalb des Browsers: Internet Explorer verrät Mausbewegungen

Webseiten können im Internet Explorer Mausbewegungen abfragen, auch solche, die außerhalb des Browserfensters gemacht werden. Angreifer könnten damit beispielsweise Eingaben auf virtuellen Tastaturen abfangen.

Artikel veröffentlicht am ,
Sicherheitslücke wird bereits ausgenutzt.
Sicherheitslücke wird bereits ausgenutzt. (Bild: Spider.io)

Das Webanalyse-Unternehmen Spider.io hat eine Sicherheitslücke in Microsofts Browser Internet Explorer entdeckt: In den Versionen 6 bis 10 können Webseiten die Bewegungen des Mauspfeils überall auf dem Bildschirm überwachen, selbst dann, wenn das Fenster des Browsers minimiert ist.

Stellenmarkt
  1. IT-Infrastruktur-Systembetre- uer (m/w/d)
    Psychiatrisches Zentrum Nordbaden, Wiesloch
  2. IT-Administrator (m/w/d) mit Schwerpunkt Atlassian Tools
    Versicherungskammer Bayern Versicherungsanstalt des öffentlichen Rechts, München
Detailsuche

Spider.io hat nach eigenen Angaben Microsoft bereits am 1. Oktober 2012 über das Problem informiert. Ein Mitarbeiter aus Microsofts Security Research Center habe das Problem zwar bestätigt, aber zugleich angegeben, dass es keine Pläne gebe, die Sicherheitslücke zeitnah zu schließen.

Laut Spider.io nutzen mindestens zwei Webanalyse-Unternehmen die Sicherheitslücke bereits aus, was die Sicherheit virtueller Tastaturen untergräbt, weshalb das Unternehmen an die Öffentlichkeit geht. Virtuelle Tastaturen werden mitunter verwendet, um sicherzugehen, dass Eingaben nicht per Keylogger abgefangen werden können.

Das Problem besteht in der Funktion fireEvent(), mit der Webentwickler eigene Ereignisse auslösen können. Dabei kann jederzeit die Cursor-Position abgefragt werden.

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
Weitere IT-Trainings

Unter iedataleak.spider.io/demo stellt Spider.io eine Demo bereit. Der entsprechende Code wurde in einem Blogeintrag veröffentlicht.

Nachtrag vom 13. Dezember 2012, 15:15 Uhr

Mittlerweile hat sich Microsoft offiziell zu dem Bericht geäußert: "Wir untersuchen derzeit den Fall. Aktuell gibt es keine Berichte zu gezielten Angriffen oder betroffenen Anwendern. Sobald weitere Informationen vorliegen, werden wir diese bereitstellen und angemessene Maßnahmen ergreifen, unsere Kunden zu schützen."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Apple
Macbook-Nutzer berichten über gesprungene Displays

Zahlreiche Besitzer von Macbooks mit M1-Chip berichten über plötzlich gesprungene Displays - Apple geht von Fremdverschulden aus.

Apple: Macbook-Nutzer berichten über gesprungene Displays
Artikel
  1. Gesetz tritt in Kraft: Die Uploadfilter sind da
    Gesetz tritt in Kraft
    Die Uploadfilter sind da

    Ab sofort haften große Plattformen für die Uploads ihrer Nutzer. Zu mehr Lizenzvereinbarungen hat das bei der Gema noch nicht geführt.
    Ein Bericht von Friedhelm Greis

  2. Mercedes-Benz: Daimler rechnet mit Abbau von Arbeitsplätzen durch E-Autos
    Mercedes-Benz
    Daimler rechnet mit Abbau von Arbeitsplätzen durch E-Autos

    Mehr Elektroautos bei Daimler bedeuten nach Ansicht der Chefetage weniger Arbeitsplätze. Grund sei der einfachere Einbau eines Elektromotors.

  3. VW, BMW, Daimler: Jedes sechste Elektroauto ist von deutschem Hersteller
    VW, BMW, Daimler
    Jedes sechste Elektroauto ist von deutschem Hersteller

    Das Elektroauto gewinnt an Fahrt bei den deutschen Herstellern und Autokäufern. Bei Angebot und Nachfrage dominiert China.

Atalanttore 14. Dez 2012

Du musst doch nicht updaten. Bleib doch einfach bei einer 3 Jahre alten Firefox Version...

__destruct() 14. Dez 2012

Allerdings kann das Programm selbst Schadcode enthalten und durch diese Sicherheitslücke...

nille02 13. Dez 2012

Warum sollte ich Admin Rechte benötigen, wenn ich eine Datei mit dem Browser öffne? Und...

h1j4ck3r 13. Dez 2012

Das würde sich aber wiedetsprechen. davon ausgehen das potentiell gefahr besteht, aber...

repstosw 13. Dez 2012

na...wer das wohl ist? facebook? google? microsoft? ad.de.doubleclick.net? Naja, ist mir...



  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Acer XB323UGP (WQHD, 170Hz) 580,43€ • Acer XV340CKP (UWQHD, 144 Hz) 465,78€ • Razer BlackShark V2 + Base Station V2 Chroma 94,98€ • Mega-Marken-Sparen bei MM • Saturn: 1 Produkt zahlen, 2 erhalten • Alternate (u. a. AKRacing Core EX-Wide SE 248,99€) • Fallout 4 GOTY 9,99€ [Werbung]
    •  /