Neues JavaScript-Risiko im Internet Explorer

15. Jänner 2000, 10:08

Eine Sicherheitslücke im Microsoft Internet Explorer 5 erlaubt das Ausspionieren der heimischen Festplatte.

Wie Heise berichtet, erlaubt eine Sicherheitslücke im Internet Explorer 5 das Ausspionieren der heimischen Festplatte. Georgi Guninski hat bereits vor einigen Tagen herausgefunden, dass die 5er-Versionen von Microsofts Browser auf Windows 9x und NT einen Fehler haben. Dadurch kann ein Angreifer per JavaScript über das Internet Dateien (mit bekanntem Pfad) lesen.

Window Spoofing

Außerdem lassen sich Inhalte scheinbar fremden Sites unterschieben, die der Surfer gleichzeitig besucht (Window Spoofing). Die URL in der Adresszeile gehört dann nicht zum Inhalt des Fensters. Damit könnte ein Angreifer versuchen, sich Informationen zu erschleichen, die man nur einer bestimmten, vermeintlich vertrauenswürdigen Site übergeben würde. Auch der Zugriff auf Cookies anderer Domains ist möglich. Wenn Internetdienste hierüber Zugangsberechtigungen verwalten, könnte ein Datenspion anschließend auch auf den Account des Opfers zugreifen.

Eine übersetzte Demonstration des Angriffs finden Sie auf dem Heise-Server. Die Demo zeigt den Inhalt einer lokalen Datei (C:\test.txt) in einer Dialogbox an; zur Ausführung ist aktiviertes Active Scripting (JavaScript) notwendig. Nach ersten Tests scheint die Macintosh-Version des Internet Explorers von dieser Sicherheitslücke nicht betroffen zu sein.

Abschalten

Microsoft hat bislang weder ein Sicherheitsbulletin noch einen Patch veröffentlicht. Bis auf weiteres bleibt daher als Gegenmaßnahme nur, Active Scripting in den Sicherheitsoptionen abzuschalten. (heise)

Share if you care.