Phishing-Leck im Internet Explorer 7

Das Sicherheitsunternehmen Secunia hat eine Phishing-Schwachstelle im Internet Explorer 7 ausfindig gemacht. Über das Leck können URLs in Pop-Up-Fenstern gefälscht werden, womit in der Adressleiste eine vetrauenswürdige Adresse dargestellt werden kann, die Webseite jedoch eine Phishing-Seite von Internet-Betrügern enthält. Aus Sicherheitsgründen öffnet der Internet Explorer 7 im Gegensatz zum Vorgänger IE 6 Pop-Up-Fenster standardmäßig mit Adressleiste - ein Sicherheits-Feature, das mit dieser Schwachstelle ausgehebelt wird.

Die Sicherheitslücke sei für den Internet Explorer 7 auf einem vollständig gepatchten System mit Windows XP SP2 nachgewiesen, erklärt Secunia. Das Sicherheitsunternehmen stuft das Phishing-Leck als "weniger kritisch" ein. Microsoft hat das Phishing-Leck zwar bestätigt [Link entfernt] , wiegelt jedoch ab und verweist auf die neuen Phishing-Schutzmechanismen im IE 7. Ob ein Patch für die Schwachstelle erwartet werden kann, wurde nicht bekannt.

Secunia hatte bereits in der vergangenen Woche kurz nach der Veröffentlichung des IE 7 das erste Leck im neuen Microsoft-Browser ausgemacht. Microsoft hatte den Bericht als technisch nicht korrekt zurückgewiesen. Die Schwachstelle, bei der über Webseiten sensible Informationen ausgelesen werden können, sei eine Sicherheitslücke in Outlook Express. Secunia hatte darauf erwidert, auch wenn das Leck in Outlook Express liege, sei der Webbrowser der Angriffsvektor, über den die Schwachstelle ausgenutzt werden kann.