Opera zeigt falsche Dateiendungen bei Download an [Update]

Durch einen Fehler im Webbrowser Opera ist es möglich, Anwendern Dateien mit gefälschten Dateiendungen unterzuschieben. Durch die Übermittlung einer gefälschten CLASSID (CLSID) zeigt der Browser beispielsweise statt der Endung HTML die Endung PDF an, berichtet der Sicherheitsdienstleister Secunia. Ein Anwender kann damit überlistet werden, eine Datei mit vermeintlich vertrauenswürdiger Endung zu öffnen. Ein ähnlicher Fehler wurde Ende Januar im Internet Explorer entdeckt. Zur Demonstration trug eine HTML-Datei eine ausführbare EXE-Datei in sich.

Wählt der Anwender im Download-Dialog statt Speichern die Option Öffnen, so wird die entsprechende Datei mit der verknüpften Applikation gestartet -- im beschriebenen Beispiel statt der angezeigten PDF-Datei die HTML-Datei mit der kodierten EXE-Datei. Der gleiche Trick funktioniert auch bei Opera-Version für Windows ab 7.x. Opera hat bislang noch nicht auf das Problem reagiert. Auch Microsoft hat noch keinen Patch angekündigt, der das Problem im Internet Explorer beseitigt.

Update
Der falsche Dateiname wird in Opera unter anderem wegen eines zu kleinen Dialogfensters angezeigt, sodass in der Secunia-Demo mit den Opera-Standardeinstellungen nur secunia.pdf zu sehen ist. Verbreitert man das Dialogfenster, so sieht man den kompletten Namen der Datei. Der vollständige Dateiname wird auch beim Speichern angezeigt und die Datei sogar als HTML-Applikation erkannt. Anders als beim Internet Explorer, zeigt die Datei nach dem Speichern aber nicht das PDF-Icon. Nach Angaben von Yngve Pettersen, Senior Developer bei Opera, schaue man sich den Fehler bereits an. Da sich das Problem auch mit anderen Browsern reproduzieren lässt, scheint der Fehler an Windows selbst zu liegen. Offenbar verlassen sich die Browser auf einige Windows-Funktionen, ohne eigene Überprüfungen vorzunehmen.

Siehe dazu auch: (dab)

• Internet Explorer ermöglicht Fälschen von Dateiendungen bei Download auf heise Security