Internet Explorer als Datenspion

Der bulgarische Bug-Jäger Georgi Guninski hat eine neue Sicherheitslücke im Konzept des Internet Explorers 5 (IE5) gefunden. Über eine Downloadfunktion kann eine WWW-Site beliebige Textdateien vom heimischen Rechner ausspionieren, deren Speicherort bekannt ist; die Dateierweiterung ist dabei unerheblich. Auch Teile von Binärdateien sollen über diesen Angriff lesbar sein.

Guninski hat auf seinen Webseiten eine Demonstration eingerichtet. Wer einen E-Mail-Client oder Newsreader benutzt, der mittels IE5 HTML-Nachrichten dekodiert, ist auch über diese Dienste verwundbar. Es ist nicht notwendig, dass der Surfer - wie in Guninskis Beispielcode - auf einen Link klickt: Die Funktion lässt sich auch automatisch starten. Als Gegenmaßnahme empfiehlt es sich, Active Scripting in den Internetoptionen/Sicherheit für die Internet-Zone abzuschalten. (nl)