Lücke im Internet Explorer: Angreifer können Mausbewegungen ausspähen

Stefan Beiersmann,
BrowserSicherheitSicherheitsmanagementSoftwareWorkspace

Microsoft prüft derzeit einen Bericht des Sicherheitsunternehmens Spider.io, das behauptet, eine Zero-Day-Lücke im Internet Explorer entdeckt zu haben. Die Schwachstelle soll es einem Angreifer erlauben, alle Bewegungen des Mauszeigers eines Anwenders zu verfolgen, selbst wenn das Browserfenster minimiert ist.

Eigenen Angaben zufolge hat Spider.io das Leck schon vor Monaten gefunden. Microsoft habe man am 1. Oktober darüber informiert. Der Fehler bedrohe vor allem die Sicherheit virtueller Keyboards, die beispielsweise benutzt werden, um PINs und TANs in Banking-Software einzugeben. Betroffen seien alle Versionen des Microsoft-Browsers seit IE6.

“Ein Angreifer kann Zugriff auf die Bewegungen des Mauszeigers erhalten, in dem er einfach eine Display-Anzeige auf einer beliebigen Website kauft”, warnte das Sicherheitsunternehmen. Zwei Werbefirmen nutzen laut Spider.io die Anfälligkeit schon aus, um die Online-Aktivitäten von Nutzern zu verfolgen.

Die Öffentlichkeit hat Spider.io nun informiert, da Microsoft noch keinen Patch bereitgestellt habe. “Obwohl das Microsoft Security Research Center die Schwachstelle im Internet Explorer eingeräumt hat, haben sie erklärt, es sei nicht geplant, die Lücke in den aktuellen Versionen des Browsers zu schließen”, teilt die Sicherheitsfirma mit. “Es ist wichtig, dass Nutzer des Internet Explorer auf die Anfälligkeit und deren Folgen aufmerksam gemacht werden.”

Dean Hachamovitch, der für den Browser zuständige Vizepräsident bei Microsoft schreibt dagegen: “Von dem, was wir bisher wissen, hat das Problem mehr mit der Konkurrenz zwischen Analytics-Firmen zu tun, als mit der Sicherheit von Verbrauchern. Wir arbeiten aktiv daran, dieses Verhalten in IE anzupassen.” Andere Browser enthielten ähnliche Funktionen. Über die weitere Entwicklung der Untersuchungen bei Microsoft will er zu gegebener Zeit im IE-Blog informieren.

Peinlich ist die Lücke auch deshalb, weil sich Microsoft mit Intenret Explorer 10 als vehementer Verbraucherschützer gibt, indem es die Funktion Do-Not-Track als Standardeinstellung festgelegt hat. Die stieß auf heftige Kritik bei US-Werbefirmen und Webunternehmen, unter anderem Yahoo, erntete aber Zustimmung bei Verbraucher- und Datenschützern sowie der EU.

In diesem Video demonstrieren Mitarbeiter von Spider.io die Funktionsweise des Exploits.

[mit Material von Steven Musil, News.com]

<!– Tipp: Kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit 15 Fragen auf ITespresso.de. –>Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Lesen Sie auch :

Chrome, Edge und Safari: Chinesischer Hackerwettbewerb deckt Zero-Day-Lücken auf

Mozilla Firefox: Anwender sollen detaillierter über Tracking informiert werden

Google Chrome: neues Feature blockiert künftig ressourcenfressende Anzeigen