Der Internet Explorer 7 hat anscheinend ein Sicherheitsloch, das für Phishing-Angriffe verwendet werden kann. Der Ratschlag URLs immer manuell einzugeben hilft gegen diese Lücke nichts. Durch einen Fehler in der der Verarbeitung so genannter onunload-Ereignisse durch JavaScript ist es möglich, dass bösartige Webseiten das Laden einer neuen Webseite verhindern und in der Adresszeile trotzdem die URL der neuen Seite erscheint.

Diese Schwäche können Phisher nutzen. Ein erfolgreicher Angriff setzt zwar voraus, dass das Opfer eine bösartige Seite besucht hat. Wenn dies einmal der Fall war, kann es allerdings anschließend kann es den Aufrufen weiterer Seiten nicht mehr trauen. Wenn die betrügerische Seite im Look der Original-Seite gestaltet ist, merkt der Benutzer nichts von der Umleitung. Der Fehler tritt nicht auf, wenn man die neue Seite per Bookmark aufruft, sondern nur bei manueller Eingabe der Adresse.Microsoft hat noch keinen Patch für den Fehler veröffentlicht. Als Abhilfe empfiehlt Secunia, nach dem Besuch einer unbekannten Website sämtliche Browserfenster zu schließen, bevor wieder eine neue Site aufgerufen wird. Einen proof-of-concept finden sie hier.

 

Arbeitsgruppe Identitätsschutz im Internet e.V.