Internet Explorer liest Ihre Dateien

Thor Larholm hat ein Sicherheitsloch im Internet Explorer veröffentlicht, das es ermöglicht, beliebige lokale Dateien oder Cookies auszulesen und auch Programme zu starten. Betroffen davon sind zumindest die Versionen 5.5 und 6.0 des Internet Explorer. Der Sicherheitsexperte Larholm betreibt eine Liste von Sicherheitslücken im Internet Explorer, auf der sich mittlerweile 19 Einträge ohne Patch finden.

Das Sicherheitsproblem beruht auf fehlenden Cross Domain security checks. Diese sollen verhindern, dass zum Beispiel JavaScript auf den Inhalt einer gleichzeitig angezeigten, anderen Web-Seite zugreifen kann, die nicht vom selben Server stammt. Durch die fehlenden Tests ist es möglich, via JavaScript in ein eingebettetes Objekt eine lokale Datei einzulesen und deren Inhalt dann übers Internet zu versenden. Weitere Details und eine Demonstration der Sicherheitslücke finden Sie auf dem c't Browsercheck.

Microsoft wurde über das Problem vor zwei Wochen unterrichtet, hat aber bisher keinen Patch veröffentlicht. Um das Problem zu beseitigen, sollten Sie -- wie im c't Browsercheck empfohlen -- das Scripting von ActiveX-Controls abschalten. (ju)