Netzpolitik
Bislang größte Sicherheitslücke im Explorer
Neuer Bug im Microsoft-Browser macht Angriffe zum Kinderspiel - Böswillige Scripts können große Schäden anrichten
An Sicherheitslücken in den Browsern haben
wir uns längst gewöhnt, beinahe im Wochenrhythmus
kursieren neue Bug-Meldungen. Das bisher schlimmste
Loch hat nun allerdings der Bulgare Georgi Guninski
entdeckt. Der Bug ermöglicht es böswilligen Hackern, über HTML-Seiten oder Outlook 98 Mails
ausführbare Dateien in Windows zu plazieren.Unbemerkt
Das einfache Anklicken eines Hyperlinks mit dem Internet Explorer 4 und 5 oder das öffnen einer
Mail mit Outlook reicht aus, um unbemerkt ein Script zu aktivieren. Damit ist es möglich, auf
fremden Windows 95, 98 oder NT-Rechnern beliebige Programme zu starten und unter Umständen
ganze Systeme zu zerstören. Der 27-jährige Bulgare, der sich als "Browser-Bugmeister" bereits
einen Namen gemacht hat, hat auf seiner
Homepage
einen Beispielcode bereitgestellt, mit dem man
sich von der Gefährlichkeit des Sachverhalts überzeugen kann.
Schuld ist wieder einmal Microsofts Active-X-Technologie
Dank des "Windows Scripting Hosts" ist
die die Ausführung von Scripts auf den Festplatten ahnungsloser Anwender möglich. Guninskis
Beispiel plaziert eine ausführbare HTML-Datei (Endung .HTA) im Autostart-Ordner von Windows.
Beim nächsten Systemstart wird das - in diesem Fall harmlose - Script ausgeführt. Im schlimmsten
Fall könnte in einem solchen Script beispielsweise ein Befehl zum Formatieren der Festplatte
stehen. Das Problem liegt nach Aussage von Guninski an dem Active-X-Control namens "Object for
constructing type libraries for scriptlets".
Microsoft habe den Bug bereits reproduziert und arbeite an einer Fehlerbehebung. Anwender können
sich derzeit nur schützen, indem sie im Browser in den Internetoptionen unter Sicherheit in der
"Sicherheitsstufe für Internet" die "Active-X-Steuerelemente" deaktivieren. Über aktuelle Bugfixes
informiert Microsoft auf einer
Web-Site.
(internetworld)