Internet Explorer ermöglicht Fälschen von Dateiendungen bei Download
Mit einem Fehler im Internet Explorer ist es möglich, beim Download eine Datei mit gefälschten Endungen anzuzeigen, hinter der sich eine ausführbare Datei verbergen kann.
Der Sicherheitsspezialist mit dem Pseudonym http-equiv hat auf der Mailingliste Full Disclosure ein Security Advisory veröffentlicht, das einen weiteren Fehler im Internet Explorer beschreibt, mit dem Webseiten Anwendern Dateien mit gefälschten Dateiendungen unterschieben können. Durch die Übermittlung einer gefälschten CLASSID (CLSID) an den Browser ist es beispielsweise möglich, statt der Endung HTML die Endung PDF anzuzeigen. Eine HTML-Datei, die eine ausführbare EXE-Datei in sich trägt, hat http-equiv bereits bei der Demonstration der gefälschten Ordner veröffentlicht. Dort reichte das Öffnen der HTML-Datei, um das Programm im Kontext des Benutzers zu starten.
Ähnlich ist es hier: Wählt der Anwender im Download-Dialog des Internet Explorers statt Speichern die Option Öffnen, so wird die entsprechende Datei mit der verknüpften Applikation gestartet -- im beschriebenen Beispiel statt der angezeigten PDF-Datei die HTML-Datei mit der codierten EXE-Datei.
http-equiv hat auf seiner Seite einer Demo veröffentlicht, in der er eine MPEG-Datei vortäuscht. Eine Patch gibt es derzeit nicht, Anwender sollten im Download-Dialog niemals Öffnen wählen, sondern die Datei immer erst lokal speichern. Öffnet man sie anschließend, meldet die verknüpfte Applikation einen Fehler oder bricht ab. Auch sollte man dem Download-Dialog des Internet Explorers nicht vertrauen.
Siehe dazu auch: (dab)
- Security Advisory auf Full Disclosure
