Apple und Google fixen Browser-Bug, Microsoft patzt

Im Microsoft Edge-Browser gibt es eine Sicherheitslücke, die von Sicherheitsforschern aufgedeckt wurde. Während Apple und Google eine ähnliche Schwachstelle gepatcht haben, will Microsoft kein Update anbieten – das sei ‘by design’.


Werbung

Die (Cross-Site-Scripting-) Sicherheitslücke im Microsoft Edge-Browser wurde von Talos-Sicherheitsforschern entdeckt und in diesem Beitrag beschrieben. In Microsoft Edge 40.15063.0.0 können die Content Security Policies (CSP) durch eine entsprechend gestaltete Webseite umgangen werden.

Content Security Policies (CSP)

Diese Content Security Policies (CSP) sollen eigentlich verhindern, dass Informationen über andere im Browser geöffnete Seiten abgerufen werden können. So will man nicht, dass ein Script in einer geladenen Webseite auf Tasteneingaben, Cookies oder andere Informationen zugreifen kann, die sich auf eine andere Webseite des Browsers gelten. Man denke nur an einen Browser, wo in einem Tab ein Online-Konto (Mail, Banking etc.) geöffnet wurde und ein bösartiges Script in einem anderen Tab die Zugangsdaten abfragt.

CSP lassen sich in Edge umgehen

Bei Microsoft Edge gibt es aber ein Problem. Ein Angreifer kann nun durch Umgehen der CSP über eine bösartige Webseite auf solche Informationen zugreifen. Dazu muss lediglich ein neues Dokument mittels der JavaScript-Funktion:

window.open („“,“_blank“)

geladen werden. Schreibt ein Angreifer mit document.write schädlichen Code in das Dokument, bevor dieses geladen wird, lassen sich die CSP-Einschränkungen, die für das Dokument gelten, in dem der Javascript-Code ausgeführt wird, umgehen. Das Script kann plötzlich auf andere Browserseiten zugreifen. Eigentlich sollte die CPS dieses Cross-Site-Scripting verhindern.

Tests von Talos zeigten, dass der Firefox-Browser von der Lücke nicht betroffenen ist. Im Safari-Browser von Apple gab es eine ähnliche Lücke (CVE-2017-2419). Auch Google Chrome war von der Lücke (CVE-2017-5033) betroffen. Beide Firmen haben aber diese Schwachstelle durch Updates geschlossen (Google Chrome 57.0.2987.98, iOS 10.3, Safari 10.1).

Der Fehler wurde im November 2016 gefunden und an Microsoft gemeldet. Er wird mit einem CVSS-Sicherheitsindex von 4,3 auf einer bis 10 reichenden Skala bewertet. Laut Bleeping Computer lehnt Microsoft es aber ab, diesen Bug zu fixen.


Werbung



Dieser Beitrag wurde unter Edge, Google abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Kommentare zu Apple und Google fixen Browser-Bug, Microsoft patzt

  1. Das ist wohl eines der größten Sicherheitslücken im Edge wenn man mit mehreren Taps Arbeitet, frage mich gerade ob die Sicherheitslücke nur in Taps oder auch in mehreren Fenstern Auftritt.

    Somit muss man davon Abraten den Edge noch zu benutzen.

    • Tim sagt:

      Ach warte mal ab…

      Wenn genug wichtige (zahlende) Kunden Microsoft lieb bitten, patcht Microsoft die Lücke bestimmt auch irgendwann…

      Noch hat sich halt keiner bei MS gemeldet, der genau das braucht!

      • Ich meine ich verwende den Edge eh nur in Ausnahmesituationen für 5 Sec. nach der Installation bevor ich den Firefox oder Slimjet Browser installiert hab.

        Aber es scheint ja durchaus noch Leute zu geben die das Edge Ding auch so zum Surfen, Bankgeschäfte und Shoppen benutzen und da ist das Teil nun überhaupt nicht mehr zu gebrauchen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.