Die Mailinglisten Bugtraq und Full Disclosure berichten von mehreren Vorfällen bei denen Webseiten für Angriffe gegen Anwender ausgenützt wurden. Eine ungepatchte Sicherheitslücke im Microsoft Browser Internet Exporer ermöglicht es Angreifern mit einem manipulierten HTML-Dokument beliebige ausführbare Dateien (.exe, .vbs) auf den Rechner eines Users zu laden und dann auszuführen.

Persönliche Daten gestohlen

Laut Bugtraq sollen AOL-User mit manipulierten E-Mails auf eine Webseite gelockt worden sein, diese startete und installierte anschließend ein VB-Skript auf dem PC. Dadurch gelang es dem Angreifer in den Besitz von Benutzername, Passwort und Buddyliste des AOL Instant Messengers des Opfers zu kommen. Auch auf diversen Spammer-Seiten finden sich bereits ähnliche Exploits, um Rechner anzugreifen und auch so manche Dialer-Software soll bereits auf diese Weise um Verbreitung bemüht sein. Der ahnungslose Anwender kann nur zusehen wie der Windows Media Player überschrieben oder unter C:\ Dateien wie "1.exe" und "2.exe" abgelegt werden.

Code bereits frei verfügbar

Der Code zum Programmieren eines solchen Exploits ist bereits frei im Internet verfügbar. Experten warnen daher, dass es in nächster Zeit eine große Zahl von manipulierten Webseiten im Internet geben könnte, die versuchen, diese Sicherheitslücke im Internet Explorer auszunutzen. Momentan hilft nur das Abschalten von Active Scripting und ActiveX (allerdings nur beim IE 6 - ältere Version sind dann noch immer verwundbar) und ein hohes Maß an Aufmerksamkeit der Anwender welche Webseiten besucht werden. Personal Firewalls und Antivirenprogramme erkennen den Angriff zwar meist und können diesen unterbinden, doch ist auch dies kein hundertprozentiger Schutz, da die Exploits in verschiedenen Varianten vorliegen können.(red)