Bereits mehrfach war der Internet Explorer wegen so genannter Spoofing-Sicherheitslücken negativ in den News. Dabei handelt es sich um Schwachstellen, die es einem Angreifer erleichtern, dem Anwender eine Internetseite mit einer falschen URL vorzugaukeln, und eine vermeintliche Vertrauenswürdigkeit vorzutäuschen. Andrew Hunter hat nun erneut eine Methode gefunden, wie man den Nutzern des Internet Explorer falsche Websites anzeigen kann, und zwar so dass die URL überhaupt nicht in der Adressleiste sichtbar ist. Dazu muss lediglich die Startseite des Browsers auf eine JavaScript-Funktion geändert werden, was der Angreifer z.B. über ein Programm realisieren kann, ähnlich wie es Spyware-Tools tun.
Verwendet man nun als Startseitenadresse einen Text, wie er auf dieser Seite gezeigt wird, würde der Browser mit der enthaltenen Webseite starten, aber deren URL nicht in der Adressleiste anzeigen. Betroffen sind angeblich alle Windows-Versionen, einschließlich Windows XP mit Service Pack 2. Als einzige Möglichkeit zur Verhinderung des Missbrauchs muss man JavaScript deaktivieren, bis Microsoft es schafft, einen Patch bereitzustellen.
Diesen Artikel bookmarken oder senden an ...
