Gefährliche IE-Sicherheitslücke verfolgt Ihre Mausbewegungen [Aktualisiert]

Am 1. Oktober 2012 wurde eine Sicherheitsanfälligkeit in Internet Explorer (von Version 6 bis 10) von spider.io eingereicht, die einen Exploit zeigte, der verwendet werden konnte, um die Zeigerbewegungen auf dem Bildschirm zu verfolgen. Dieser Exploit könnte von denen genutzt werden, die daran interessiert sind, sensible Informationen zu erlangen, selbst wenn das Ziel nur eine virtuelle Tastatur verwendet.

Obwohl das Problem dem Microsoft Security Research Center gemeldet wurde, scheint es, dass sie nicht daran interessiert sind, das Problem zu beheben, und es bleibt ungelöst. Diese Sicherheitsanfälligkeit ist besonders gefährlich für diejenigen, die virtuelle Tastaturen verwenden, um Kreditkartendaten oder Telefonnummern einzugeben.

Wie könnte dies die Benutzer von IE betreffen?

Selbst diejenigen, die virtuelle Tastaturen verwenden, um Keylogger zu umgehen, sind nicht sicher, da der Exploit die Bewegungen und Klicks Ihrer Maus verfolgt, selbst wenn Internet Explorer minimiert ist. Die Forscher von spider.io haben eine Demoseite erstellt, die den Exploit in Aktion zeigt, und es gibt auch ein Video, das zeigt, wie einfach es ist, herauszufinden, worauf jemand auf einem Ziffernblock klickt.

Der Einreicher des Exploits hat erklärt, dass er Microsoft über das Problem informiert hat, und von dem, was wir auf ihrer Website sehen können, wurde keine Maßnahme ergriffen, um es zu beheben:

Während das Microsoft Security Research Center die Sicherheitsanfälligkeit in Internet Explorer anerkannt hat, haben sie auch erklärt, dass es keine unmittelbaren Pläne gibt, diese Sicherheitsanfälligkeit in bestehenden Versionen des Browsers zu patchen.

Darüber hinaus, da der Exploit auf IE 6-10 implementiert werden kann, gibt es viele potenzielle Opfer, die über das Problem informiert werden müssen. Glücklicherweise, wo Microsoft sich weigert, Maßnahmen zu ergreifen, tun es andere. Auch auf der Seite, die das Problem beschreibt, versichert spider.io den Benutzern, dass es Unternehmen gibt, die versuchen, eine Lösung zu finden.

Der Kurs, den Microsoft in Bezug auf dieses Problem einschlägt, ist gelinde gesagt unprofessionell, aber wir denken, dass sie nur versuchen, Internet Explorer als den besten Browser zu halten, um andere Browser herunterzuladen. Wenn das der Fall ist, dann machen sie einen großartigen Job! Der von Nick Johnson von spider.io eingereichte Fehlerbericht ist ziemlich umfangreich und beschreibt die Sicherheitsanfälligkeit im Detail. Außerdem hat er den Code für den Exploit selbst präsentiert:

Wir hoffen, dass die Bedeutung dieses Problems von mehr Menschen und mehr Sicherheitsunternehmen wahrgenommen wird und dass bald ein Tool veröffentlicht wird, um IE für diejenigen sicher zu machen, die nicht zu einem besseren Browser migrieren möchten.

Aktualisierung: Nach dem Aufruhr um die Sicherheitsanfälligkeit hat Microsoft endlich dem Druck nachgegeben und klargestellt, dass es das Problem untersucht. Sie bestehen weiterhin darauf, dass das zugrunde liegende Problem mehr mit dem Wettbewerb zwischen Analyseunternehmen als mit der Sicherheit oder Privatsphäre der Verbraucher zu tun hat, aber der Bericht von spider.io zeichnet ein ganz anderes Bild.