Skip to content

Die Universal Cross-Site Scripting (UXSS) Schwachstelle im Internet Explorer 10 und 11

David Leo hat im Internet Explorer 11 eine Universal Cross-Site Scripting (UXSS) Schwachstelle entdeckt. Die erlaubt ganz allgemein XSS-Angriffe auf Websites, die selbst gar keine XSS-Schwachstelle enthalten und dadurch zum Beispiel überzeugende Phishing-Angriffe oder das Ausspähen von Session-Cookies.

Kurze Zeit später stellte sich heraus, dass auch der IE 10 und der IE 11 im "Spartan"-Modus (und damit auch Microsofts neuer Browser "Spartan" unter Windows 10) von der Schwachstelle betroffen sind.

Im IE 9 funktioniert der PoC, wenn der Document Mode von "Quirks" auf "IE9 Standard" umgeschaltet wird. Ob das auch automatisch über eine entsprechenden Doctype-Angabe möglich ist, ist noch nicht bekannt.

PoC veröffentlicht

"Die Universal Cross-Site Scripting (UXSS) Schwachstelle im Internet Explorer 10 und 11" vollständig lesen