Surfen mit IE kann Festplatte formatieren (Update)

Eine besonders tückische Kombination von Sicherheitslücken im Internet Explorer ermöglicht es Webseiten, auf fremden Rechnern Programme mit Parametern aufzurufen -- mittlerweile existiert ein Exploit, das die Festplatte formatiert.

Das Problem besteht aus mehreren Sicherheitslücken, die alleine genommen nicht weiter kritisch sind, aber im Zusammenspiel gefährliche Angriffe ermöglichen. In einem Advsiory beschreibt Andreas Sandblad, wie die Sicherheitslücken ausgenutzt werden können, um beliebige Kommandos mit Parameterübergabe zu starten. Sandblads Exploit nutzt dabei ein cross-site-scripting-Loch in der Windowshilfe (*.chm) aus. Seine Demonstration öffnet eine Kommandozeile und übergibt dort eine Echo-Ausgabe. Mit wenig Aufwand lässt sich das Exploit aber mit weitaus zerstörerischeren Befehlen ("deltree", "format") füttern.

Laut Sandblad ist der Internet Explorer 6 mit aktuellen Patches anfällig für diese Lücke. In einem internen Testlauf stellten wir fest, dass das Exploit auf einem Windows XP mit IE 6.0 erst lauffähig war, nachdem wir alle aktuellen Sicherheitspatches von windowsupdate.com eingespielt hatten -- auf einem anderen System mit ungepatchten IE 6.0 funktionierte es auf Anhieb. Nach unseren Tests ist auch der Internet Explorer 5.5 von dem Problem betroffen.

Ob Ihr Internet Explorer anfällig für das veröffentlichte Exploit ist, können Sie mit unserem Browsercheck überprüfen. Doch auch wenn dieser Test nicht funktioniert, gibt es wahrscheinlich andere Möglichkeiten, dieses Sicherheitsproblem auszunutzen. Microsoft wurde bereits am 4. Oktober informiert, aber bislang gibt es noch keinen Patch. Abstellen lässt sich das Problem momentan nur durch das Abschalten von "Active Scripting". Eine Anleitung dazu finden Sie ebenfalls auf dem c't browsercheck. (pab)