Notepad-Popups via Internet Explorer

Wie Richard M. Smith in einem Advisory berichtet, öffnet der Internet Explorer über so genannte View-Source-URLs bestimmte Dateien automatisch im Notepad-Editor. Solche URLs können externe Web-Seiten laden oder auch lokale Dateien öffnen, deren Dateiendung mit dem Notepad verknüpft ist. Der Anwender muss diese URL nicht einmal anklicken. Es genügt, wenn er ein HTML-Dokument öffnet, in dem die View-Source-URL in einem Image-Tag eingebettet ist, also ein Tag, das normalerweise Bilder nachlädt. Das funktioniert auch über HTML-Mails und ganz ohne JavaScript. Folgender Link öffnet unter Windows die win.ini-Datei im Notepad:

[view-source:file:///c:\windows\win.ini view-source:file:///c:\windows\win.ini].

Als ernstes Sicherheitsloch kann man diesen Mechanismus kaum bezeichnen. Smith weist jedoch auf die Gefahr hin, dass unachtsame Nutzer Veränderungen an INI-Dateien in sich öffnenden Notepad-Fenstern vornehmen und anschließend speichern. Darüberhinaus könnte eine HTML-E-Mail mehrere sehr große Dateien parallel öffnen, den Speicher füllen und damit den PC unbedienbar machen. Die Notepads ließen sich außerdem auch von Spammern als Alternative zu Pop-Up-Fenstern missbrauchen.

Thor Larholm, Entdecker mehrerer Bugs im Internet Explorer und Mitbetreiber der PivX Research Labs stellt das Problem in einen größeren Zusammenhang. In einer Antwort an Smith weist er darauf hin, dass der Internet Explorer auch andere Dateitypen automatisch und ohne Nachfrage mit der dafür zuständigen Applikation öffnet. Dazu gehören unter anderem MIDI- und ASF-Dateien.

Ob der Internet Explorer Dateien automatisch und ohne Nachfrage öffnet, hängt von dessen MIME-Typ und dem für diesen in der Registry gesetzten EditFlag ab. Dieses Flag legt unter anderem fest, ob für Dateien dieses Typs ein Speichern/Öffnen-Dialog angezeigt wird. Wie man das EditFlag setzt oder löscht wird auf den Seiten von cpcug.org beschrieben. (dab)