Internet Explorer führt unkontrolliert Programme aus
Auch das letzte Microsoft-Update lässt Sicherheitslöcher des Internet Explorer offen. Eine Demo auf dem c't Browsercheck illustriert die damit verbundenen Probleme.
Wie bereits berichtet, lässt auch das letzte Microsoft-Update Sicherheitslöcher des Internet Explorer offen. Eine Demo auf dem c't Browsercheck illustriert die damit verbundenen Probleme.
Derzeit ist mindestens ein Sicherheitsproblem bekannt, mit dem sich Böswillige über präparierte Webseiten die Rechte der Zone "Lokaler Rechner" erschleichen können. Mit diesen Rechten haben Skripte Zugriff auf ActiveX-Objekte wie Shell.Application. Dessen Methode ShellExecute erlaubt es, beliebige, bereits installierte Programme zu starten. Die Browsercheck-Demo startet über den Kommandzeilen-Interpreter cmd.exe das Kommando "dir /p". Genauso gut könnte eine bösartige Web-Seite auch alle Dateien löschen. Die Demo funktionierte in unseren Tests mit Windows XP und IE 6 mit allen aktuellen Patches.
Um sich zu schützen, können IE-Anwender Active Scripting deaktivieren. Damit funktionieren allerdings eine ganze Reihe von Web-Sites nicht mehr.
Siehe dazu auch: (ju)
- Browsercheck-Demo auf heise Security
