Viren, Spyware, Datenschutz 11.241 Themen, 94.650 Beiträge

Internet Explorer - Übertragung sensitiver Daten

FreddyK. / 18 Antworten / Flachansicht Nickles

" Dass der Browser Informationen weitergibt, wenn die Option "Verwandte Links anzeigen" aktiviert wurde, ist als "Feature" bekannt. Ein Bug führt jedoch dazu, dass auch nach dem Deaktivieren dieser Option Internet Explorer weiter Daten an "msn.com" und "alexa.com" uebermittelt. Dies erfolgt jedes Mal, wenn eine Seite mit "Strg+R aufgefrischt wird. Erst ein Neustart des Internet Explorers beendet dieses Verhalten.

Zu allem Überfluss betrifft dieses Verhalten auch SSL-Webseiten, wie mittlerweile feststeht. Die Tatsache, dass Informationen, die eigentlich durch SSL geschützt werden sollen, im Klartext an Dritte übermittelt werden, geht weit über ein Feature hinaus.

Internet Explorer sendet den gesamten URL an "msn.com" und "alexa.com", inklusive eventuell enthaltener Benutzernamen, Passworte, Session-IDs, Suchbegriffe, Pfadangaben und so weiter.

Die Sicherheitslücke ist für Internet Explorer 6 auf Windows 2000 und XP (auch mit allen Service Packs und Hotfixes) bestätigt.

Anmerkung:
Es liegt allein in Microsofts Ermessen, an wen die übermittelten Informationen gehen. Microsoft könnte jederzeit beschliessen, sie neben "alexa.com" auch noch anderen Parteien zukommen zu lassen.

Lösung:
Filtern Sie den Datenverkehr am Netzwerkperimeter, so dass keinerlei Daten mehr an "msn.com" und "alexa.com" uebermittelt werden.
Am einfachsten bewerkstelligen Sie das, indem Sie die Datei "hosts" (i.d.R. zu finden unter Windows/System32/drivers/etc) um folgende Einträge ergänzen:

127.0.0.1 msn.com
127.0.0.1 alexa.com

Vermeiden Sie die Benutzung der Option "Verwandte Links anzeigen" oder schliessen Sie den Internet Explorer nach deren Benutzung jedes Mal.

Vermeiden Sie die Benutzung von Internet Explorer. Was an solchen "Schwachstellen" bekannt wird, könnte sich eines Tages als Spitze eine Eisberges herausstellen. "


Quellen:
http://it-secure-x.de/news.php?s=read&id=58
http://www.secunia.com/advisories/8955

Dieser Beitrag wurde unter Debian GNU/Linux 7.1 Wheezy verbrochen. https://de.wikipedia.org/wiki/Vorratsdatenspeicherung
bei Antwort benachrichtigen
@ grossadministrator : FreddyK.
Olaf19 Teletom „Hi, ich sehe das so, wer glaubt, mit seinem System und mit seiner Software sich...“
Optionen

Hi Teletom!

Deine Bemühungen um Ausgeglichenheit und Objektivität weiß ich sehr zu schätzen, kann Dir aber in einigen Punkten nicht ganz folgen.

Es geht bei der ganzen Diskussion nicht darum, ob ein BS bzw. Browser unfehlbar ist und wenn ja welcher/-s. All diese Softwareprodukte sind Menschenwerk und werden daher schon aus rein prinzipiellen Gründen niemals gottgleiche Perfektion erreichen. Aber man sollte Abstufungen machen und feststellen, dass nicht alles gleich gut ist. Beim IE und ganz besonders bei OE treten öfter Sicherheitsprobleme auf als bei Mozilla & Co; bei letzteren werden vorhandene Bugs außerdem schneller gepatcht.

Ich habe darüber zwar keine Strichlisten geführt, aber das entspricht nicht nur meiner Wahrnehmung; das sagt Dir jeder der sich mit dem Thema eingehend beschäftigt hat, auch IT-Fachleute - sei denn, sie stehen auf der Gehaltsliste von Microsoft.

Entscheidend ist aber ganz etwas anderes.

Wenn jemandem ein Fehler unterläuft, dann ist das menschlich; gerade bei einer so immens komplexen Materie wie Software-Entwicklung. Wenn jemand aber mutwillig "Features" einbaut, die das Ziel verfolgen, seine Kunden hinter deren Rücken auszuspionieren, dann ist das ihnen gegenüber nicht nur hinterhältig, sondern tritt auch geltendes Recht mit Füßen, wie Amenophis IV weiter unten erwähnt hat.

Dass sich sowas eine Firma leistet, die mit Hilfe von TCPA/Palladium einen gerechten Krieg gegen Raubkopierer zu führen entschlossen ist, kann an Selbstgerechtigkeit und Heuchelei kaum noch überboten werden. Ich find's einfach nur peinlich.

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen