" Dass der Browser Informationen weitergibt, wenn die Option "Verwandte Links anzeigen" aktiviert wurde, ist als "Feature" bekannt. Ein Bug führt jedoch dazu, dass auch nach dem Deaktivieren dieser Option Internet Explorer weiter Daten an "msn.com" und "alexa.com" uebermittelt. Dies erfolgt jedes Mal, wenn eine Seite mit "Strg+R aufgefrischt wird. Erst ein Neustart des Internet Explorers beendet dieses Verhalten.
Zu allem Überfluss betrifft dieses Verhalten auch SSL-Webseiten, wie mittlerweile feststeht. Die Tatsache, dass Informationen, die eigentlich durch SSL geschützt werden sollen, im Klartext an Dritte übermittelt werden, geht weit über ein Feature hinaus.
Internet Explorer sendet den gesamten URL an "msn.com" und "alexa.com", inklusive eventuell enthaltener Benutzernamen, Passworte, Session-IDs, Suchbegriffe, Pfadangaben und so weiter.
Die Sicherheitslücke ist für Internet Explorer 6 auf Windows 2000 und XP (auch mit allen Service Packs und Hotfixes) bestätigt.
Anmerkung:
Es liegt allein in Microsofts Ermessen, an wen die übermittelten Informationen gehen. Microsoft könnte jederzeit beschliessen, sie neben "alexa.com" auch noch anderen Parteien zukommen zu lassen.
Lösung:
Filtern Sie den Datenverkehr am Netzwerkperimeter, so dass keinerlei Daten mehr an "msn.com" und "alexa.com" uebermittelt werden.
Am einfachsten bewerkstelligen Sie das, indem Sie die Datei "hosts" (i.d.R. zu finden unter Windows/System32/drivers/etc) um folgende Einträge ergänzen:
127.0.0.1 msn.com
127.0.0.1 alexa.com
Vermeiden Sie die Benutzung der Option "Verwandte Links anzeigen" oder schliessen Sie den Internet Explorer nach deren Benutzung jedes Mal.
Vermeiden Sie die Benutzung von Internet Explorer. Was an solchen "Schwachstellen" bekannt wird, könnte sich eines Tages als Spitze eine Eisberges herausstellen. "
Quellen:
http://it-secure-x.de/news.php?s=read&id=58
http://www.secunia.com/advisories/8955
Viren, Spyware, Datenschutz 11.241 Themen, 94.650 Beiträge
Es ist auch naiv zu glauben, dass zwei Produkte, von zwei Entwicklerteams mit völlig verschiedenen Maximen und anderem Interesse dieselbe Anzahl und genauso schwerwiegende Fehler in ihre Software frickeln. Microsoft will einfach nur, dass es läuft. Was der Anwender nicht zwingenderweise wissen muss, wird einfach verschwiegen oder so voreingestellt, dass es komfortabel ohne Aufwand läuft. Dabei stehen auch stark finanzielle Interessen im Vordergrund.
Mozilla war hingegen von Netscape als Entwicklerteam gedacht, um die Enginge für die nächste Netscape-Generation zu schaffen. Dadurch, dass Mozilla und die Browser die dessen Engine benutzen sehr stark auf unixioden Systemen verwendet werden, ist allein schon der Sicherheitsanspruch höher. Man traut den Leuten auch zu, mal ein paar Klicks zu machen. Der Quellcode ist einsehbar und wird von vielen Leutchen in Bewegung gehalten. Die Engine dient als Herz für einige weitere mozillabasierender Browser (Prestigefrage). Und ich behaupte, dass finanzielle Interessen weniger stark ausgeprägt sind, als beim IE.
Dass Software, und damit auch Mozilla immer Fehler haben, weiß jedes Kind und hat niemand bestritten. Aber die Anzahl, als auch die schwere der Fehler kann sehr wohl geringfügiger sein, als bei MS-Produkten.