Apple und Google fixen Browser-Bug, Microsoft patzt

Im Microsoft Edge-Browser gibt es eine Sicherheitslücke, die von Sicherheitsforschern aufgedeckt wurde. Während Apple und Google eine ähnliche Schwachstelle gepatcht haben, will Microsoft kein Update anbieten – das sei 'by design'.


Anzeige

Die (Cross-Site-Scripting-) Sicherheitslücke im Microsoft Edge-Browser wurde von Talos-Sicherheitsforschern entdeckt und in diesem Beitrag beschrieben. In Microsoft Edge 40.15063.0.0 können die Content Security Policies (CSP) durch eine entsprechend gestaltete Webseite umgangen werden.

Content Security Policies (CSP)

Diese Content Security Policies (CSP) sollen eigentlich verhindern, dass Informationen über andere im Browser geöffnete Seiten abgerufen werden können. So will man nicht, dass ein Script in einer geladenen Webseite auf Tasteneingaben, Cookies oder andere Informationen zugreifen kann, die sich auf eine andere Webseite des Browsers gelten. Man denke nur an einen Browser, wo in einem Tab ein Online-Konto (Mail, Banking etc.) geöffnet wurde und ein bösartiges Script in einem anderen Tab die Zugangsdaten abfragt.

CSP lassen sich in Edge umgehen

Bei Microsoft Edge gibt es aber ein Problem. Ein Angreifer kann nun durch Umgehen der CSP über eine bösartige Webseite auf solche Informationen zugreifen. Dazu muss lediglich ein neues Dokument mittels der JavaScript-Funktion:

window.open ("","_blank")

geladen werden. Schreibt ein Angreifer mit document.write schädlichen Code in das Dokument, bevor dieses geladen wird, lassen sich die CSP-Einschränkungen, die für das Dokument gelten, in dem der Javascript-Code ausgeführt wird, umgehen. Das Script kann plötzlich auf andere Browserseiten zugreifen. Eigentlich sollte die CPS dieses Cross-Site-Scripting verhindern.

Tests von Talos zeigten, dass der Firefox-Browser von der Lücke nicht betroffenen ist. Im Safari-Browser von Apple gab es eine ähnliche Lücke (CVE-2017-2419). Auch Google Chrome war von der Lücke (CVE-2017-5033) betroffen. Beide Firmen haben aber diese Schwachstelle durch Updates geschlossen (Google Chrome 57.0.2987.98, iOS 10.3, Safari 10.1).

Der Fehler wurde im November 2016 gefunden und an Microsoft gemeldet. Er wird mit einem CVSS-Sicherheitsindex von 4,3 auf einer bis 10 reichenden Skala bewertet. Laut Bleeping Computer lehnt Microsoft es aber ab, diesen Bug zu fixen.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Edge abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Apple und Google fixen Browser-Bug, Microsoft patzt

  1. Das ist wohl eines der größten Sicherheitslücken im Edge wenn man mit mehreren Taps Arbeitet, frage mich gerade ob die Sicherheitslücke nur in Taps oder auch in mehreren Fenstern Auftritt.

    Somit muss man davon Abraten den Edge noch zu benutzen.

    • Tim sagt:

      Ach warte mal ab…

      Wenn genug wichtige (zahlende) Kunden Microsoft lieb bitten, patcht Microsoft die Lücke bestimmt auch irgendwann…

      Noch hat sich halt keiner bei MS gemeldet, der genau das braucht!

      • Ich meine ich verwende den Edge eh nur in Ausnahmesituationen für 5 Sec. nach der Installation bevor ich den Firefox oder Slimjet Browser installiert hab.

        Aber es scheint ja durchaus noch Leute zu geben die das Edge Ding auch so zum Surfen, Bankgeschäfte und Shoppen benutzen und da ist das Teil nun überhaupt nicht mehr zu gebrauchen.

Schreibe einen Kommentar zu Tim Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.