Neue IFRAME-Lücke im Internet Explorer

Laut einem Advisory der israelischen Sicherheitsfirma GreyMagic kann durch eine Sicherheitslücke des Internet Explorer 5.5 und 6.0 bei der Behandlung von Frames beliebiger Code ausgeführt werden.

GreyMagic hat herausgefunden, dass Angreifer auf Seiten, die über <FRAME>- oder <IFRAME>-Elemente verfügen, Cookies und lokale Dateien auslesen oder sogar beliebige Kommandos ausführen können. Nachdem eine Webseite geladen wurde, kann eine andere Domain immer noch auf die Frame-Kollektion zugreifen und die URLs der Frames verändern. Dadurch könne laut GreyMagic JavaScript-Code eingebunden und direkt ausgeführt werden. Die Sicherheitslücke ist ähnlich zu einer bereits 1999 von Georgi Guninski gefundenen Sicherheitslücke, über die sich lokale Dateien auslesen ließen. Microsoft hat bislang keine Stellungnahme zu dem Problem abgegeben, um das Problem zu umgehen, sollte man "Active Scripting" in den Sicherheitseinstellungen des Internet Explorer deaktivieren.