Neues JavaScript-Risiko im Internet Explorer
Eine SicherheitslĂĽcke im Internet Explorer 5 erlaubt das Ausspionieren der heimischen Festplatte.
Eine SicherheitslĂĽcke im Internet Explorer 5 erlaubt das Ausspionieren der heimischen Festplatte. Georgi Guninski hat bereits vor einigen Tagen herausgefunden, dass die 5er-Versionen von Microsofts Browser auf Windows 9x und NT einen Fehler haben. Dadurch kann ein Angreifer per JavaScript ĂĽber das Internet Dateien (mit bekanntem Pfad) lesen.
Außerdem lassen sich Inhalte scheinbar fremden Sites unterschieben, die der Surfer gleichzeitig besucht (Window Spoofing). Die URL in der Adresszeile gehört dann nicht zum Inhalt des Fensters. Damit könnte ein Angreifer versuchen, sich Informationen zu erschleichen, die man nur einer bestimmten, vermeintlich vertrauenswürdigen Site übergeben würde. Auch der Zugriff auf Cookies anderer Domains ist möglich. Wenn Internetdienste hierüber Zugangsberechtigungen verwalten, könnte ein Datenspion anschließend auch auf den Account des Opfers zugreifen.
Eine ĂĽbersetzte Demonstration des Angriffs finden Sie auf unserem Server. Die Demo zeigt den Inhalt einer lokalen Datei (C:\test.txt) in einer Dialogbox an; zur AusfĂĽhrung ist aktiviertes Active Scripting (JavaScript) notwendig. Nach ersten c't-Tests scheint die Macintosh-Version des Internet Explorers von dieser SicherheitslĂĽcke nicht betroffen zu sein.
Microsoft hat bislang weder ein Sicherheitsbulletin noch einen Patch veröffentlicht. Bis auf weiteres bleibt daher als Gegenmaßnahme nur, Active Scripting in den Sicherheitsoptionen abzuschalten. Auf Grund der stetig auftretenden Implementierungsfehler empfiehlt c't, die Ausführung aktiver Inhalte ausschließlich ausgewählten vertrauenswürdigen Websites zu gestatten. (nl)
