IE-Sicherheitsloch ermöglicht Datenklau

Juan Carlos García Cuartango, ein spanischer Web-Entwickler, hat eine neue Sicherheitslücke des Internet Explorers aufgedeckt. Das "Cuartango-Sicherheitsloch" erlaubt es einem Angreifer, beliebige Dateien auf dem Rechner seines Opfers auszuspähen. Es muß dazu eine entsprechende WWW-Seite abrufen, der Cracker den genauen Verzeichnispfad des betreffenden Dokuments kennen. Cuartango hat eine Demo-Seite eingerichtet. Laut einem Posting in der NT BugTraq Mailing List funktioniert der Bug auch mit dem zum Internet Explorer gehörenden Email-Programm Outlook Express. Hier genügt es, wenn das Opfer eine präparierte HTML-Mail öffnet.

Betroffen sind die Version 4 des Internet Explorers und das Preview-Release des IE 5. Laut einer Wired-Meldung arbeitet Microsoft bereits an einem Fix. In der Zwischenzeit kann man sich nur schützen, indem man Scripting abschaltet: Menüpunkt Ansicht\Internetoptionen, Reiter Sicherheit, Sicherheitsstufe "Angepasst", dort "Active Scripting" deaktivieren. (jo)