Microsoft rät: Active Scripting abschalten!
Eine neue Sicherheitslücke im Internet Explorer 5 veranlasst Microsoft zu der Empfehlung, Active Scripting grundsätzlich abzuschalten.
In Reaktion auf einen Bericht des Bulgaren Georgi Guninski, der -- wieder einmal -- auf eine neue Sicherheitslücke im Internet Explorer 5 (IE5) hinweist, rät Microsoft in einem Sicherheitsbulletin dazu, Active Scripting abzuschalten, um sich zu schützen bis ein Patch zur Verfügung steht. Russ Cooper, der Moderator der Sicherheitsmailingliste NTBugtraq, kommentiert: "Ein derart drastischer Vorschlag ... könnte bedeuten, dass sie [Microsoft] sich endlich entschlossen haben, all diesen unsicheren Scripting-Geschichten ... ein Ende zu machen." So recht daran glauben mag aber nicht einmal Cooper selbst.
Auch Netscape sah sich schon genötigt, die Notbremse zu ziehen und seinen Kunden zum Abschalten von Java und JavaScript zu raten. c't empfiehlt auf Grund der immer wieder auftretenden Sicherheitsprobleme mit jeglicher Art von aktiven Inhalten, Java, Javascript, ActiveX usw. prinzipiell abzuschalten und nur bei ausgewählten vertrauenswürdigen Websites in Ausnahmefällen zuzulassen.
Der neue IE-Bug erlaubt einem Angreifer unter bestimmten Umständen, per WWW über die Explorer-Funktion "ImportExportFavorites" Dateien auf die heimische Festplatte zu schreiben und darüber Systemkommandos auszuführen. Damit wäre dann jegliche Aktion möglich, die auch der rechtmäßige Anwender veranlassen könnte. (nl)
