Die Frage was eine Sicherheitslücke darstellt und was nicht, ist in vielen Fällen recht einfach zu beantworten – in anderen hingegen nicht. Geradezu ein Paradebeispiel für diese Problematik liefert nun Microsoft ab.

Ausgetrickst

In einem Blogeintrag warnt Nicolai Grødum, Sicherheitsforscher bei Cisco Talos vor einem Problem in Microsofts Browser Edge. Über einen Trick könnten Angreifer die Content Security Policy (CSP) des Browsers austricksen, und ein neues Fenster öffnen und in diesem Code ausführen – also genau das, was die CSP eigentlich verhindern soll. Immerhin wurde diese Policy gegen Clickjacking und Cross-Site-Scripting eingeführt.

Reaktionen

Nun streiten sich die verschiedenen Seiten aber über die Beurteilung dieses Fehlers: Bei Microsoft stellt man sich auf den Standpunkt, dass dies keine relevante Gefährdung der User darstellt, wie Threatpost berichtet. Bei Google und Apple scheint man dies anders zu beurteilen: Beide Hersteller haben den selben Fehler in ihren Browsern bereits vor einigen Monaten bereinigt, Google mit Chrome 57, Apple mit Safari 10.1 und iOS 10.3. Firefox war hingegen nie gefährdet. (red, 8.9.2017)