Der Internet Explorer liest und liest ... (Update)
Es tauchen immer mehr Methoden auf, über den Internet Explorer lokale Dateien der Benutzer auszuspionieren -- und Microsoft schweigt
Während der bereits am 19.12. gemeldete Bug im Internet Explorer, der das Auslesen beliebiger Dateien gestattet, immer noch nicht beseitigt ist, häufen sich die Meldungen über weitere Fehler dieser Art. Über die GetObject-Funktion des Browsers lassen sich laut dem Sicherheitsexperten Guninski ebenfalls lokale Dateien auslesen. Auf der Mailingliste Bugtraq erschien ein Bericht, dass dies über die execScript-Funktion ebenfalls möglich sei.
Zu keinem der Sicherheitslöcher gibt es eine Stellungnahme von Microsoft -- oder gar einen Patch. Guninski empfiehlt, "Active Scripting" zu deaktivieren, was jedoch den Nachteil hat, dass dann viele Web-Seiten nicht mehr funktionieren. Noch besser sei es, den Internet Explorer erst gar nicht in "feindlichen Umgebungen wie dem Internet" einzusetzen.
Ob Ihre Browser-Konfiguration das Auslesen lokaler Dateien gestattet, können Sie im c't-Browsercheck überprüfen. Guninskis Report konnten wir bisher nicht reproduzieren, so dass es dafür noch keinen Test gibt. (ju)
