Internet Explorer ermöglicht Spionieren in Dateien

Beängstigend einfach lässt sich eine Sicherheitslücke im Internet Explorer 5.x ausnutzen, um beliebige Dateien auf dem Rechner eines Surfers zu lesen.

In Pocket speichern vorlesen Druckansicht 124 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Patrick Brauch

Beängstigend einfach lässt sich eine Sicherheitslücke im Internet Explorer 5.x ausnutzen, um beliebige Dateien auf dem Rechner eines Surfers zu lesen. Über die JavaScript-Funktion GetObject() kann ein Webmaster Zugriff auf jede Datei eines Besuchers erlangen, vorausgesetzt, der Pfad zu der entsprechenden Datei ist bekannt.

Wieder einmal hat der Sicherheitsexperte Georgi Guninski das Sicherheitsloch entdeckt; der Bulgare hat bereits mehrere Sicherheitslücken des Internet Explorer 5.5 gefunden (siehe c't 20/00, Seite 34). Um die jüngste Schwachstelle auszunutzen, sind lediglich zwei Zeilen JavaScript-Code erforderlich. Übrigens sind auch Benutzer von Outlook und Outlook Express betroffen, da sich der Programmcode auch in HTML-Mails verbergen kann und die Microsoft Mail-Clients die Sicherheitseinstellungen des Internet Explorers verwenden.

Um dem Problem vorzubeugen, empfiehlt es sich, Active Scripting und/oder das Ausführen von ActiveX-Controls zu deaktivieren. Mit dem c't-Browser-Check können Sie Ihren Browser auf diese Sicherheitslücke überprüfen. Weiterhin bietet der Check Möglichkeiten, die generelle Sicherheit des bevorzugten Browsers zu testen. (pab)