Passwort-Klau mit spezieller URL
Microsoft warnt vor einer gravierenden Sicherheitslücke im Internet Explorer 5.5 und 6.0.
Demnach können Unberechtigte Zugriff auf Cookies erlangen und deren Inhalt manipulieren.
Über URL Cookies auslesen
In dem Sicherheitsbulletin des Software-Herstellers heißt es,
dass Angreifer über eine speziell gestaltete URL auf dem PC des
Anwenders gespeicherte Cookies auslesen und deren Inhalt verändern
können.
Microsoft SicherheitsbulletinUser-IDs, Passwörter, Kreditkartennummern
Normalerweise ist das nur den Websites gestattet, die auch die Cookies gesetzt haben.
Diese Datenkrümel können durchaus sensible Informationen enthalten, was umso brisanter ist, wenn die Daten im Klartext abgelegt werden.
Auf diese Weise fallen Crackern beispielsweise User-IDs, Passwörter oder Kreditkartennummern in die Hände.
Active Scripting deaktivieren
Die Lücke öffnet sich ebenfalls über HTML-formatierte Mails, die der User mit Outlook [Express] öffnet. Da die Cookies über ein Skript ausgelesen werden, rät Microsoft, Active Scripting in den Sicherheitseinstellungen des Internet Explorer zu deaktivieren, bis ein Patch verfügbar ist.