Internet Explorer führt Code in Bildern aus
Eine ursprünglich als Sicherheitsmaßnahme eingeführte Schutzfunktion kann dazu führen, dass der Internet Explorer ein Bild als HTML behandelt und eingebetteten Script-Code ausführt.
Wenn man ein Bild im Internet Explorer öffnet, kann es gut sein, dass dieser zu der Auffassung gelangt, dass es sich dabei eigentlich um HTML-Code handelt und sogar eingebettete Scripte ausführt. Gefährdet sind vor allem die Besucher von Web-Seiten, bei denen Benutzer selbst Bilder hochladen können.
Das Ganze war eigentlich als Schutzfunktion gedacht: Beim Öffnen einer Datei verlässt sich der Internet Explorer nicht blind auf möglicherweise falsche Anzeichen wie Dateinamen oder den MIME-Typ, den der Server übermittelt. Gibt es Grund zum Zweifel, etwa weil widersprüchliche Angaben vorliegen, schaut er in die Datei hinein und entscheidet an Hand des Inhalts, wie sie zu behandeln ist. Dieses sogenannte MIME-Sniffing kann dann sogar dazu führen, dass er in einer Bilddatei HTML-Code entdeckt, diesen rendert und eingebettetes JavaScript ausführt. Dieser Script-Code läuft dann im Kontext der Website und kann beispielsweise die Zugangsdaten des Anwenders ausspionieren.
Deshalb sollten die Betreiber von Webseiten, bei denen Anwender Bilder hochladen können, Typ und Inhalt der Bilder prüfen, bevor sie diese online stellen. Alternativ können sie die Bilder auch konvertieren, um eventuell eingebetetten Code zu entfernen. Den genauen Hintergrund und Demonstrationen des Problems präsentiert ein Hintergrund-Artikel auf heise Security.
Siehe dazu auch:
- Gefährliches Schnüffeln, MIME-Sniffing im Internet Explorer ermöglicht Cross-Site-Scripting-Angriffe auf heise Security
- MIME sniffing in Internet Explorer enables cross-site scripting attacks englische Version auf heise Security/UK
- Passwortklau für Dummies, oder warum Cross Site Scripting wirklich ein Problem ist Hintergrund-Artikel auf heise Security
(ju)
