Die neuen Browser-Version IE7 von Microsoft bietet durch seine Schwachstellen vielen Phishern und Internet-Betrügern eine neue Angriffsfläche.
Der neue Browser von Microsoft ist kaum wenige Tage alt und Security-Sepzialisten entdecken täglich neue Schwächen. Mit dem Internet Explorer 7 wollte Microsoft Anwender zukünftig besser vor Phishing-Angriffen schützen. Dies scheint nur zum Teil gelungen, wie der Sicherheitsdienstleister Secunia in der Demonstration einer Schwachstelle der jüngsten Browserversion von Microsoft zeigt. So gelingt es Secunia durch einfaches Anhängen bestimmter Zeichen an eine URL, die angezeigte Adresse in der Adressleiste eines Pop-up-Fensters zu fälschen: In der Demo zeigt die Adressleiste www.microsoft.com an, obwohl der Inhalt von Secunia stammt.
Microsoft ist sich der Probleme noch nicht bewusst
Dies ist auch deshalb besonders ernüchternd, weil Microsoft die Ausstattung jedes geöffneten Fensters und Pop-ups mit einer Adresszeile als zusätzliches Sicherheitsmerkmal des Internet Explorer 7 anpreist. Beim Internet Explorer 6 konnte eine Seite weitere Fenster öffnen, ohne dass erkenntlich war, zu welcher Adresse sie gehörte. Immerhin war damit unter Umständen noch das Misstrauen des Anwenders geweckt, was beim Internet Explorer 7 nun nicht mehr unbedingt der Fall ist.
Inzwischen tauchen immer mehr Schwachstellen auf
Bereits am Tage der Veröffentlichung der finalen Version des Internet Explorer 7 zeigte Secunia ein Problem im Browser auf, mit dem Angreifer Inhalte geöffneter Fenster ausspähen konnten – ein Problem das Microsoft schon sechs Monate bekannt war. Microsoft meinte dazu in einer Stellungnahme, das Problem sei weder im Internet Explorer 6 noch im Internet Explorer 7 zu suchen, obwohl die Schwachstellendemonstration diese Browser als Angriffsvektor nutze. Schuld sei vielmehr eine Outlook-Express-Komponente in Windows und man untersuche die Angelegenheit noch.
