Der chinesische Sicherheitsspezialist Liu Die Yu hat im Internet Explorer eine weitere Schwachstelle gefunden, mit der sich die angezeigte URL in der Adressleiste fälschen lässt: Angreifer können Anwendern damit vorgaukeln, auf einer vermeintlich bekannten Webseite zu sein und vertrauliche Informationen abfragen (Phishing). Die Schwachstelle basiert nach bisherigen Erkenntnissen auf der fehlerhaften Aktualisierung der Adressleiste nach einer bestimmten Abfolge von Aktionen auf ein Browser-Fenster.

Liu Die Yu hat auf seinen Seiten eine Demo bereitgestellt, die das URL-Spoofing demonstriert. Das Problem wurde für den Internet Explorer 6 unter Windows XP SP1 und 2000 mit SP4 bestätigt, andere Windows- und IE-Versionen sind wahrscheinlich ebenfalls verwundbar. Nicht betroffen ist Windows XP mit Service Pack 2 -- dort funktioniert der Trick nicht mehr. Alternativ können Anwender auch Active Scripting deaktivieren oder einen anderen Browser verwenden.


Info: http://umbrella.name/people/liu.dieyu/
Quelle: [Link entfernt, weil Linkziel leider nicht mehr verfügbar]