Internet Explorer: Kein Ende der Sicherheitslücken

Kaum hat Microsoft einen Patch gegen den "Download Behaviour"-Fehler veröffentlicht, präsentiert Georgi Guninski schon wieder eine neue Sicherheitslücke. Sie erlaubt einem Angreifer wiederum mit Hilfe von Active Scripting (JavaScript) Dateien von der Festplatte des Surfers zu lesen. Dabei öffnet eine bösartige Website zunächst einen so genannten IFRAME mit der gewünschten Datei und schleust dann über die Funktion "document.execCommand" JavaScript-Code in diesen Rahmen.

Auf seiner Website demonstriert Guninski mit dem neuen Fehler die zwölfte Verwundbarkeit des Internet Explorers (die Demo führt evtl. zu einer Schleife neuer Explorer-Fenster); die Hälfte der Bugs betrifft bereits die 5er-Version des Browsers. Microsoft empfiehlt in einem Sicherheitsbulletin als Workaround, Active Scripting in der Internet-Zone auszuschalten und nur vertrauenswürdigen Sites über die gleichnamige Zone das Ausführen von JavaScript zu erlauben.

Der notorischen c't-Empfehlung, aktive Inhalte (auch ActiveX, Java, VBScript usw.) grundsätzlich abzuschalten, hat sich nun auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) angeschlossen. In einer Pressemitteilung warnt das BSI vor dem Einsatz von JavaScript und "rät dringend, bei der Nutzung des Internets auf aktive Inhalte zu verzichten". (nl)