Internet Explorer missachtet Sicherheitseinstellungen
Eine Untersuchung des Sans Institute enthüllt ein grundlegendes Sicherheitsproblem des Internet Explorers.
Bereits vor einigen Wochen veröffentlichte Sicherheitsexperte Guninski ein Sicherheitsproblem in Zusammenhang mit MS-Office und HTML-Mails, die ein <Object>-Tag enthalten können. Jetzt zeigte eine genauere Untersuchung durch das Sans Institute, dass das Problem weitaus tiefer liegt als bisher vermutet: Ein schwerwiegender Programmierfehler stellt das gesamte Sicherheitskonzept des Internet Explorers infrage.
Bei Guninskis Demonstration des Fehlers enthielt eine Web-Seite ein <Object>-Tag, dass auf ein Excel-Dokument verwies. Daraufhin startete der Internet Explorer das ActiveX-Control Excel, um die angebliche Tabelle zu öffnen. Zusätzliche Anweisungen in Visual Basic Script (VBS) riefen dessen SaveAs()-Methode auf und speicherten die Datei auf der lokalen Festplatte. Das Ganze funktioniert prinzipiell auch via E-Mail, wenn der Mail-Reader den Internet Explorer zur Darstellung von HTML-Mails benutzt, wie es bei Outlook, Outlook Express und Eudora der Fall ist. Als Schutzmaßnahme empfahl Guninski, "Active Scripting" und das Ausführen von "ActiveX und Plugins" zu deaktivieren.
Die Tests des Sans Institute zeigten jedoch, dass der Explorer das fragliche ActiveX-Control startet und das Dokument lädt, bevor er die Sicherheitseinstellungen überprüft. Erst danach gibt er eine Fehlermeldung aus, dass der enthaltene Code unsicher sei. Das Sans Institute demonstrierte dies anhand einer Access-Datenbank, die Programmcode in Visual Basic for Applications (VBA) enthielt. Trotz höchster Sicherheitseinstellungen (mit deaktiviertem Scripting und ActiveX-Controls) konnte dabei ein externes Programm ausgeführt werden.
Betroffen sind alle Windows-Systeme mit Microsoft Access 97 oder 2000, auf denen der Mail-Client den Internet Explorer zur Anzeige von HTML-Mails verwendet. Bisher existiert noch kein Patch für dieses Sicherheitsproblem, aber Microsoft beschreibt einen Workaround, mit dem sich betroffene Systeme schützen lassen, indem ein spezielles Access-Passwort aktiviert wird. Da dieser Workaround aber den laxen Umgang des Internet Explorers mit seinen Sicherheitsvorgaben nicht korrigiert, sollte man unbedingt auch den hoffentlich bald erscheinenden Patch installieren. (ju)
