Neues Sicherheitsloch im Internet Explorer 5.5

Der bulgarische Sicherheitsexperte Georgi Guninski hat einmal mehr eine Sicherheitslücke in Microsofts Internet Explorer 5.5 gefunden. Auch diesmal handelt es sich wieder um einen Fehler bei der Behandlung von JavaScript: Die als Cross Frame Security Policy bezeichnete Sicherheitsregel lässt sich aushebeln. Diese Policy soll dafür sorgen, dass keine Informationen von einen Frame in einen anderen übermittelt werden.

Die Regel verhindert eigentlich, dass JavaScript-Code eine lokale Datei ausliest, nachdem er sie in einem Frame geöffnet hat. Allerdings ist es möglich, dass der Internet Explorer JavaScript-Befehle ausführt und ihnen den Zugriff auf lokale Dateien gestattet. Die Sicherheitslücke befindet sich im Document Object Model. Auf diese Datensammlung, die wichtige Informationen über die geöffneten Dokumente enthält, kann JavaScript zugreifen. Damit sei es möglich, lokale Dateien des Benutzers oder gar beliebiger Hosts auszulesen. Guninsky schlägt als Workaround für dieses Problem die Deaktivierung von JavaScript vor – Microsoft hat bislang keine Stellungnahme abgegeben. (pab)