Eine neu entdeckte Sicherheitslücke im Internet Explorer betrifft das Javascript-Objekt "XmlHttpRequest". Um die Lücke auszunutzen, müsste ein Angreifer ein präpariertes Javascript in seine Website einbauen. Es würde dafür sorgen, dass der Microsoft Internet Explorer von einer beliebigen Website Daten abruft und an den Angreifer weiterleitet. Dabei soll es auch möglich sein, den Referrer-Wert im HTTP-Header zu fälschen.
All das funktioniert aber nur, wenn der Anwender einen Proxy nutzt - wobei nicht jede Proxy-Software die manipulierten Anfragen durchlässt. Greift der Anwender ohne Proxy aufs Internet zu, gelingt die Attacke nur, wenn die IP-Adresse der Website des Angreifers und die des Ziel-Servers die gleiche ist. Das kommt jedoch nur selten vor - zum Beispiel dann, wenn beide Sites bei einem Massenhoster wie Geocities liegen.
Welche weiteren Angriffe durch diese Lücke denkbar wären, beschreibt der Entdecker der Schwachstelle auf dieser englischsprachigen Seite. Schutz bietet das Deaktivieren von Active Scripting oder die Benutzung eines alternativen Browsers. (pcwelt/cm)