Der Internet Explorer kommt langsam in die Jahre und soll durch Edge abgelöst werden. Bugs im Browser ermöglichen Angreifer mitunter ungewöhnliche Aktionen. Jetzt wurde ein Bug in Microsofts Internet Explorer entdeckt, mit dem sich das Surfverhalten des Nutzers auslesen lässt.
Anzeige
Der Bug wurde vom Sicherheitsforscher Michael Caballero entdeckt. Dieser hat seine Erkenntnisse in einem Blog-Beitrag veröffentlicht. Der Fehler tritt auf, wenn eine Seite mit dem HTML-Objekt-Tag in Kombination mit dem Kompatibilitätsmodus-Meta-Tag geladen wird.
<head>
<!– COMPATIBILITY META TAG –>
<meta http-equiv="X-UA-Compatible" content="IE=8" />
</head>
<object data="obj.html" type="text/html"></object>
Dann lässt sich sich per JavaScript der Ort des Location-Objekts abfragen. Statt aber die eigene Position zurückzugeben, wird die Position des Main-Elements geliefert.
Caballero hat eine Demo-Seite aufgesetzt [funktioniert nur im Internet Explorer]. Ein Demo-Video des Angriffs ist nachfolgend abrufbar. Details sind in Michael Caballeros Blog-Beitrag nachzulesen. (via, via)
(Quelle: YouTube)