Wer heute auf heise.de vorbei geschaut hat, hat einen erschütternden Bericht gelesen den ich unbedingt auch hier vorstellen möchte.

Worum geht’s?

Der Internet Explorer hat einen Fehler bei der Implementierung der Cross-Site Policy von Javascript. Aufgedeckt wurde die Lücke in einer internen Sicherheitskonferenz von Microsoft. Da fast keine Informationen nach aussen gegeben wurden musste das Problem noch einmal neu aufgedeckt werden.

Was lässt sich aus der Lücke herausholen?

Durch die Lücke können Keylogger gebaut werden die im Browser bleiben auch wenn die Location geändert bzw. eine neue Location sogar händisch in die Adressleiste eingegeben wird. Dadurch sind natürlich Logins, E-Bankingsites etc. betroffen. Wie weit diese Lücke schon im Netz verwendet wird ist nicht ganz klar, allerdings ist sie leicht zu verwenden wie mehrere Seiten klarstellen.

Ob der Firefox von so einer Lücke nicht betroffen ist, ist nicht klar. McFeters schreibt es beträfe alle Browser.

Weitere Informationen:

Original Artikel
US-Cert
Tecchannel