Ausführen von beliebigen Programmen via onload
Bereits im Mai 2005 wies Benjamin Tobias Franz darauf hin, dass Web-Seiten, die im Body-Tag den JavaScript-Befehl onload() einsetzen, den Microsoft Browser zum Absturz bringen können. Im November dokumentierten dann englische Sicherheitsspezialisten , dass eine Web-Seite über dieses Problem auch Code einschleusen und ausführen kann. Während jedoch ihre Demo nur den Windows Taschenrechner startete, schmuggeln nun Web-Seiten beispielsweise den Trojaner Win32/Delf.DH ein, der sich als Datei KVG.exe oder keks.exe im Autostart-Ordner einträgt und andere Schadsoftware nachlädt.
Demo
Diese Demo bringt "nur" den Internet Explorer zum Absturz. Wenn Ihr Browser beim Klick auf "Testen" abstürzt, kann eine Web-Seite jedoch wahrscheinlich auch Schadsoftware auf Ihrem System installieren. Stürzt Ihr Browser nicht ab, hat die Demo nicht funktioniert.
Abhilfe:
Microsoft hat mit MS05-054 einen Patch veröffentlicht, der diese Lücke schließt.
Sie können zum Schutz in den Sicherheitseinstellungen Active Scripting abschalten, allerdings funktionieren dann viele Web-Seiten nicht mehr. Andere Browser als der Internet Explorer sind von diesem Problem nicht betroffen.