Internet Explorer: Loch an Loch...

Wenige Tage nach dem Bekanntwerden des sogenannten "Cyber-Snot"-Bugs (http://www.heise.de/newsticker/data/jo-04.03.97-000/ ) sind bereits zwei weitere Sicherheitslöcher in Microsofts Internet Explorer entdeckt worden.

Bug Nummer 2: David Ross, Dennis Cheng und Asher Kobin berichten auf http://dec.dorm.umd.edu von der Möglichkeit, in einem IFRAME-Tag ein Programm-Icon als normale HTML-Schaltfläche zu tarnen. Durch Anklicken dieses Icons startet der Surfer ein Programm aus dem Netz, ohne auf diese Tatsache hingewiesen zu werden. Dieses Problem betrifft insbesondere Windows-NT-Installationen mit CIFS (NT 4.0 mit Service Pack 1): hier kann das Remote-Programm irgendwo im Internet liegen.

Bug Nummer 3: Chris Rioux und Tim Macinta zeigen auf http://web.mit.edu/crioux/www/ie/index.html , daß der Explorer über den Internet Wizard beliebige Programme auf dem Rechner des Surfers startet; der Pfad des auszuführenden Programmes muß zwar bekannt sein, was aber durch die üblichen Standardverzeichnisse keine große Einschränkung bedeutet. Bei diesem Sicherheitsloch muß der Surfer keinen Link anklicken - das bloße Betrachten einer WWW-Seite startet das Programm ohne weitere Warnung. Dieser Bug betrifft vermutlich nur Windows 95.

Mittlerweile hat Microsoft unter http://www.microsoft.com/ie/security/download.htm einen Patch für die englische Version des Internet Explorers parat, der alle drei Löcher stopft: Vor der Ausführung von Programmen ergeht eine Sicherheitsabfrage an den Benutzer. Für die internationalen Versionen sind Umsetzungen des Patches für die nächsten Tage angekündigt. (nl)