Erste Sicherheitslücke im Internet Explorer 5.5 entdeckt
Ein Angreifer kann die Lücke dazu benutzen, Dateien auf dem Rechner seines Opfers auszuspähen. Das Sicherheitsloch lässt sich auch über HTML-E-Mails ausnutzen.
Nicht einmal eine Woche nach dem Erscheinen von Internet Explorer 5.5 hat Bug-Jäger Georgi Guninski ein Sicherheitsproblem in Microsofts Webbrowser gefunden. Ein Angreifer kann es dazu benutzen, Dateien auf dem Rechner seines Opfers auszuspähen. Das Sicherheitsloch lässt sich auch über HTML-Emails ausnutzen, also beispielsweise via Outlook oder Outlook Express.
Ursache des Problems ist ein ActiveX-Control, das mit dem Internet Explorer mitgeliefert wird: Das so genannte DHTMLED-Control (Dynamic HTML Edit Control für den IE 5) lässt sich derart zweckentfremden, dass es einem Eindringling Zugriff auf Text- und HTML-Dateien ermöglicht. Allerdings muss der Angreifer den genauen Dateinamen und -pfad kennen. Auf seiner Homepage gibt Guninski neben einer genauen Beschreibung auch eine Demonstration des Problems.
Neben dem IE 5.5 ist auch dessen Vorgänger 5.01 betroffen. Getestet hat Guninski das Problem nur mit der Windows-98-Version des Internet Explorer; er geht aber davon aus, dass auch die Releases für andere Betriebssysteme betroffen sind. Ein Patch von Microsoft, der das Problem behebt, existiert noch nicht. Als Abhilfe empfiehlt Guninski, in den IE-Einstellungen das so genannte "Active Scripting" abzuschalten oder die Option "ActiveX-Steuerelemente und Plugins ausführen" zu deaktivieren. (Siehe dazu auch den Artikel Natürliche Abwehrkräfte – Windows und Internet-Software sicher konfigurieren aus Ausgabe 4/2000 der c't.) (jo)
