Microsoft: Workarounds zum URL-Spoofing

16.12.2003
In einem Knowledge-Base-Artikel geht Microsoft auf das kürzlich gefundene Sicherheitsproblem ein, das Angreifern ermöglicht, Internet-Explorer-Nutzern gefälschte URLs anzudienen Angreifer können Anwendern mit einem gefälschten Link, etwa http://www.computerpartner.de%01@www.microsot.com, vortäuschen, sie befänden sich auf der Seite www.computerpartner.de. Tatsächlich befinden sie sich auf der Webseite www.microst.com. Der Grund: Die Adressbar des Internet Explorer (IE) zeigt den Teil hinter dem @ nicht an.

In einem Knowledge-Base-Artikel geht Microsoft auf das kürzlich gefundene Sicherheitsproblem ein, das Angreifern ermöglicht, Internet-Explorer-Nutzern gefälschte URLs anzudienen Angreifer können Anwendern mit einem gefälschten Link, etwa http://www.computerpartner.de%01@www.microsot.com, vortäuschen, sie befänden sich auf der Seite www.computerpartner.de. Tatsächlich befinden sie sich auf der Webseite www.microst.com. Der Grund: Die Adressbar des Internet Explorer (IE) zeigt den Teil hinter dem @ nicht an.

Microsoft schlägt unter anderem vor, den Link zu überprüfen, indem man ihn in die Zwischenablage kopiert ("Verknüpfung kopieren") und mittels Editor sich zeigen lässt. Der Editor zeigt dann manipulierte URLs. Ferner könne man die aktuell besuchte Seite mit JScript überprüfen.

Microsoft schlägt des weiteren Folgendes vor: "Use a JScript command in Internet Explorer. In the Address bar, type the following command, and then press ENTER: javascript:alert("Actual URL address: " + location.protocol + "//" + location.hostname + "/"); Mittels dieser Zeilen wird eine Dialogbox geöffnet, die die Adresse der dargestellten Seite mit der der Adressleiste vergleicht. Weichen sie von einander ab, handelt es sich um eine manipulierte Adresse.

Darüber hinaus empfiehlt Microsoft generell, die Sicherheitseinstellungen für die Internet-Zone auf "hoch" zu stellen, so dass weder ActiveX noch JScript ausgeführt werden können. Von einem Patch für die aktuelle HTML-Lücke im IE ist aber keine Rede. (wl)

Zur Startseite