![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/11\/IE.jpg\")
In den aktuellen Versionen des Internet Explorer und des Edge gibt es 0-Day Cross Site Scripting-Schwachstellen, die Angreifer zum Stehen von Daten aus anderen Tabs ausnutzen k\u00f6nnen. Interessiert aber Microsoft aber bisher wohl nicht die Bohne. Patches gibt es jedenfalls keine, obwohl die Schwachstellen dem Unternehmen vor 10 Monaten gemeldet wurden. <\/p>\n
<\/p>\n
The Hackers News berichtet in diesem Artikel<\/a> \u00fcber die Entdeckung des 20-j\u00e4hrigen Sicherheitsforschers James Lee, der seine Erkenntnisse mit der Site teilte. Lee ver\u00f6ffentlichte Details und einen Proof-of-Concept-Exploits f\u00fcr zwei \"ungepatchte\" Zero-Day-Schwachstellen in Microsofts Webbrowsern. Lee hatte Microsoft vor der Ver\u00f6ffentlichung informiert. Der Konzern reagierte aber angeblich nicht auf seine Mitteilung.<\/p>\n Die 0-Day-Schwachstellen (da bisher kein Patch verf\u00fcgbar ist) betreffen jeweils die neueste Version von Microsoft Internet Explorer und den neuesten Edge Browser. Die Schwachstellen erm\u00f6glichen es einem entfernten Angreifer, die Richtlinie gleichen Ursprungs – Same Origin Policy (SOP) – im Webbrowser des Opfers zu umgehen. <\/p>\n Same Origin Policy (SOP) ist ein in modernen Browsern implementiertes Sicherheitsmerkmal, das eine Webseite oder ein Skript, das von einem Ursprung geladen wird, daran hindert, mit einer Ressource eines anderen Ursprungs zu interagieren, und verhindert, dass sich voneinander unabh\u00e4ngige Websites gegenseitig st\u00f6ren. Besucht man eine Website mit dem Webbrowser, stellt SOP sicher, dass nur Daten gleicher Herkunft[Dom\u00e4ne] angefordert werden k\u00f6nnen. Dies verhindert, dass eine andere, in einem anderen Tab des Browsers geladene Website Daten von anderen Websites abgreifen kann. <\/p>\n Genau diese Same Origin Policy-Richtlinie funktioniert aber in den genannten Browsern nicht. Die 0-Day-Schwachstellen k\u00f6nnten es einer b\u00f6sartigen Website erm\u00f6glichen, universelle Cross-Site-Scripting (UXSS)-Angriffe auf jede Dom\u00e4ne durchzuf\u00fchren, die mit den Webbrowsern von Microsoft besucht werden. Online-Banking, das Login in Online-Konten, alles ist unsicher. <\/p>\n Um diese Schwachstellen erfolgreich auszunutzen, m\u00fcssen Angreifer lediglich ein Opfer davon \u00fcberzeugen, die b\u00f6sartige Website zu besuchen. Anschlie\u00dfen k\u00f6nnen Sie die sensiblen Daten des Opfers, wie Login-Sessions und Cookies aller im gleichen Browser besuchten Websites stehlen.<\/p>\n Lee kontaktierte Microsoft vor zehn Monaten und teilte Details mit. Das Unternehmen ignorierte diese Meldung und reagierte einfach nicht. Zum Zeitpunkt der Offenlegung stehen keine Patches bereit. Der Sicherheitsforscher hat Lee Proof-of-Concept (PoCs) Exploits ver\u00f6ffentlicht<\/a>. The Hacker News konnte beide 0-Day-Schwachstellen mit den neuesten Versionen des Internet Explorer und des Edge unter einem vollst\u00e4ndig gepatchten Windows 10-Betriebssystem verifizieren.<\/p>\n Die neu offenbarten Schwachstellen \u00e4hneln denen, die Microsoft im letzten Jahr in seinen Browsern Internet Explorer (CVE-2018-8351) und Edge (CVE-2018-8545) gepatcht hat. Bisher gibt es noch keine F\u00e4lle, wo die Schwachstelle ausgenutzt wird. Hacker werden nicht lange brauchen, um die Fehler auszunutzen und Microsoft-Nutzer mit diesen Browsern anzugreifen. Die Nutzer k\u00f6nnen nichts anderes tun, als auf ihre Browser verzichten und mit dem Chrome oder Firefox (ggf. in portablen Versionen) zu surfen. Heise hat hier<\/a> einen deutschsprachigen Artikel zum Thema ver\u00f6ffentlicht. <\/p>\n","protected":false},"excerpt":{"rendered":" In den aktuellen Versionen des Internet Explorer und des Edge gibt es 0-Day Cross Site Scripting-Schwachstellen, die Angreifer zum Stehen von Daten aus anderen Tabs ausnutzen k\u00f6nnen. Interessiert aber Microsoft aber bisher wohl nicht die Bohne. Patches gibt es jedenfalls … Weiterlesen ![\"KRITIS-Netzwerk\"](\"https:\/\/i.imgur.com\/yNk8TvY.jpg\"\/ "\\"KRITIS-Netzwerk\\"")
(Quelle: Pexels Markus Spiske<\/a> CC0 Lizenz) <\/p>\nSame Origin Policy (SOP) verletzt<\/h2>\n<\/p>\n
Microsoft reagiert nicht auf Offenlegung<\/h2>\n