Artikel mit Tag IE8
Exploit Firefox FreeBSD IE 7 Kernel Linux News Patch Problem Sicherheit XSS Zero Day 1und1 Anleitung Antivirus Apache Astalavista Avira Rescue CD Browser Buffer Overflow Clickjacking Cross Site Scripting CUPS curl Datenklau Datenlücke Datenschutz Demo Drucker Google Hack Hacking Hardening Howto Java Lösung Live-CD Microsoft milw0rm Mod-Security Monster OpenSSL Oxid Patchday PHP rkhunter Rootkit
Mittwoch, 25. November 2009
XSS-Schutz des IE8 exploitbar
Der XSS-Schutz des IE8 bröckelt.
Der neueingeführte Cross-Site-Scripting Schutz des Internet Explorer 8 lässt sich anscheinend aushebeln.
Gorgio (der Entwickler von NoScript) berichtet in einem Blogeintrag darüber.
Konkret liegt das Problem in der Art der Filterung des IE8. So manipuliert der Internet Explorer die Antwort (Response) des Servers und verändert sie so, dass kein Code ausgeführt werden soll.
Hier liegt der Designfehler vor. Ich stelle mir es so vor, dass es sich ähnlich dem doppeltem Escapen verhält:
badBADCODEcode -> Filter = badcode
Kommentare