Eine seit längerem bekannte Lücke im Internet Explorer 8 ermöglicht es Angreifern, durch das Laden von Cascading Style Sheets (CSS) die Same Origin Policy auszutricksen und persönliche Daten ihrer Opfer zu stehlen. Chris Evans aus dem Google-Sicherheitsteam demonstriert dies anschaulich anhand eines Exploits, der es auf Twitter abgesehen hat, aber auf andere Seiten übertragbar ist: Wenn der Besucher der Demo-Seite bei dem Kurznachrichtendienst eingeloggt ist, extrahiert sie sein Authentifizierungs-Token aus einer Twitter-Seite und kann ungehindert in seinem Namen Nachrichten veröffentlichen.
Quelle: heise.de