Internet Explorer: Guninski entdeckt 13. Fehler

Schon wieder hat Georgi Guninski eine Sicherheitslücke in Microsofts Internet Explorer (IE) gefunden. Damit hat allein der Bulgare seit IE-Version 4.0 13 Fehler entdeckt. Auch die neue Schwachstelle beruht auf JavaScript (Active Scripting). Und wieder können Angreifer über WWW-Seiten lokale Dateien ausspionieren, wenn deren Speicherort (Pfad) bekannt ist. Zudem lassen sich WWW-Inhalte scheinbar fremden Sites unterschieben, die der Surfer gleichzeitig besucht (Window Spoofing): Die URL in der Adresszeile gehört dann nicht zum Inhalt des Fensters. Damit könnte ein Angreifer versuchen, sich Informationen zu erschleichen, die man nur der anderen, vermeintlich vertrauenswürdigen Site übergeben würde.

Auf Guninskis Homepage liegt eine Demonstration bereit. Microsoft hat das Problem bestätigt und rät IE-Benutzern wiederum zum Abschalten von Active Scripting in der Internet-Zone (Internetoptionen/Sicherheit/Internet Zone/Stufe anpassen...). c't und das Bundesamt für Sicherheit in der Informationstechnik empfehlen, aktive Inhalte (Java, Javascript, VBScript, ActiveX, usw.) in der Internet-Zone grundsätzlich zu verbieten und höchstens ausgewählten Sites zu gestatten. (nl)