Internet Explorer : Update 14.12.2012: Microsoft hat zu dem von spider.io veröffentlichten Problem Stellung bezogen und erklärt, dass man bereits daran arbeitet, »dieses Verhalten im Internet Explorer zu korrigieren«. Allerdings verweist der Blogeintrag auch darauf, dass andere Browser ähnliche Funktionen besitzen. Diese dienten der Werbeindustrie dazu, festzustellen, ob ihre Anzeigen tatsächlich gesehen werden. Die entsprechenden Analysefirmen stünden in einem starken Wettbewerb. Laut Dean Hachamovitch, Corporate Vice President Internet Explorer, gehört spider.io selbst zu den Firmen, die Werbung analysieren und die nun veröffentlichte Methode nicht nutzen, zwei ihrer Konkurrenten aber anscheinend schon.

Obwohl es sich also laut Microsoft eher um einen Konkurrenzkampf zwischen diesen Firmen als um ein Sicherheitsproblem handelt, nehme man die Bedenken sehr ernst. Es sei allerdings kaum vorstellbar, dass das Verhalten des Internet Explorer auf entsprechend präparierte Werbung auf einer Webseite trifft, während der Nutzer sich auf dieser Seite per virtueller Tastatur einloggt, deren Arbeitsweise genau bekannt sein müsste. Außerhalb des Browserfensters, so Microsoft, sei es nicht möglich, die Inhalte, mit denen der Nutzer interagiert, zu erkennen. Das Risiko sei also sehr gering und es gäbe keinen einzigen bekannten Fall, in dem Informationen eines Nutzers ausgespäht worden wären.

Originalmeldung

Die Sicherheitslücke wurde von spider.io entdeckt und bereits im Oktober an Microsoft gemeldet. Sie ermöglicht in allen Internet Explorer-Versionen von 6 bis 10, die Mausbewegungen des Nutzers zu verfolgen, wenn eine entsprechend präparierte Webseite mit dem Microsoft-Browser aufgerufen wird.

Das funktioniert sogar dann, wenn sich der Mauszeiger nicht im Browser-Fenster befindet und beispielsweise dazu genutzt wird, eine virtuelle Tastatur auf dem Bildschirm zu bedienen, etwa beim Wählen einer Rufnummer bei Skype. Auch die Nutzung der Tasten UMSCHALT, STRG und ALT wird erkannt.

Der Screenshot unter dieser Meldung wurde erstellt, während der Internet Explorer 10 mit der Demo-Seite von spider.io zu dieser Sicherheitslücke geöffnet war. Wie zu sehen ist, befand sich der Mauszeiger außerhalb des IE-Fensters und das Drücken der ALT-Taste für den Screenshot wurde ebenfalls bemerkt. Laut spider.io wird diese Sicherheitslücke bereits von Werbefirmen auf nicht näher benannte Art ausgenutzt.

Internet Explorer : Die Webseite weiß, wo sich der Mauszeiger auch außerhalb des Browser-Fensters befindet. Die Webseite weiß, wo sich der Mauszeiger auch außerhalb des Browser-Fensters befindet.