Update 14.12.2012: Microsoft hat zu dem von spider.io veröffentlichten Problem Stellung bezogen und erklärt, dass man bereits daran arbeitet, »dieses Verhalten im Internet Explorer zu korrigieren«. Allerdings verweist der Blogeintrag auch darauf, dass andere Browser ähnliche Funktionen besitzen. Diese dienten der Werbeindustrie dazu, festzustellen, ob ihre Anzeigen tatsächlich gesehen werden. Die entsprechenden Analysefirmen stünden in einem starken Wettbewerb. Laut Dean Hachamovitch, Corporate Vice President Internet Explorer, gehört spider.io selbst zu den Firmen, die Werbung analysieren und die nun veröffentlichte Methode nicht nutzen, zwei ihrer Konkurrenten aber anscheinend schon.
Obwohl es sich also laut Microsoft eher um einen Konkurrenzkampf zwischen diesen Firmen als um ein Sicherheitsproblem handelt, nehme man die Bedenken sehr ernst. Es sei allerdings kaum vorstellbar, dass das Verhalten des Internet Explorer auf entsprechend präparierte Werbung auf einer Webseite trifft, während der Nutzer sich auf dieser Seite per virtueller Tastatur einloggt, deren Arbeitsweise genau bekannt sein müsste. Außerhalb des Browserfensters, so Microsoft, sei es nicht möglich, die Inhalte, mit denen der Nutzer interagiert, zu erkennen. Das Risiko sei also sehr gering und es gäbe keinen einzigen bekannten Fall, in dem Informationen eines Nutzers ausgespäht worden wären.
Originalmeldung
Die Sicherheitslücke wurde von spider.io entdeckt und bereits im Oktober an Microsoft gemeldet. Sie ermöglicht in allen Internet Explorer-Versionen von 6 bis 10, die Mausbewegungen des Nutzers zu verfolgen, wenn eine entsprechend präparierte Webseite mit dem Microsoft-Browser aufgerufen wird.
Das funktioniert sogar dann, wenn sich der Mauszeiger nicht im Browser-Fenster befindet und beispielsweise dazu genutzt wird, eine virtuelle Tastatur auf dem Bildschirm zu bedienen, etwa beim Wählen einer Rufnummer bei Skype. Auch die Nutzung der Tasten UMSCHALT, STRG und ALT wird erkannt.
Der Screenshot unter dieser Meldung wurde erstellt, während der Internet Explorer 10 mit der Demo-Seite von spider.io zu dieser Sicherheitslücke geöffnet war. Wie zu sehen ist, befand sich der Mauszeiger außerhalb des IE-Fensters und das Drücken der ALT-Taste für den Screenshot wurde ebenfalls bemerkt. Laut spider.io wird diese Sicherheitslücke bereits von Werbefirmen auf nicht näher benannte Art ausgenutzt.
Nur angemeldete Benutzer können kommentieren und bewerten.
Dein Kommentar wurde nicht gespeichert. Dies kann folgende Ursachen haben:
1. Der Kommentar ist länger als 4000 Zeichen.
2. Du hast versucht, einen Kommentar innerhalb der 10-Sekunden-Schreibsperre zu senden.
3. Dein Kommentar wurde als Spam identifiziert. Bitte beachte unsere Richtlinien zum Erstellen von Kommentaren.
4. Du verfügst nicht über die nötigen Schreibrechte bzw. wurdest gebannt.
Bei Fragen oder Problemen nutze bitte das Kontakt-Formular.
Nur angemeldete Benutzer können kommentieren und bewerten.
Nur angemeldete Plus-Mitglieder können Plus-Inhalte kommentieren und bewerten.