An Sicherheitslücken in den Browsern haben wir uns längst gewöhnt, beinahe im Wochenrhythmus kursieren neue Bug-Meldungen. Das bisher schlimmste Loch hat nun allerdings der Bulgare Georgi Guninski entdeckt. Der Bug ermöglicht es böswilligen Hackern, über HTML-Seiten oder Outlook 98 Mails ausführbare Dateien in Windows zu plazieren.Unbemerkt Das einfache Anklicken eines Hyperlinks mit dem Internet Explorer 4 und 5 oder das öffnen einer Mail mit Outlook reicht aus, um unbemerkt ein Script zu aktivieren. Damit ist es möglich, auf fremden Windows 95, 98 oder NT-Rechnern beliebige Programme zu starten und unter Umständen ganze Systeme zu zerstören. Der 27-jährige Bulgare, der sich als "Browser-Bugmeister" bereits einen Namen gemacht hat, hat auf seiner Homepage einen Beispielcode bereitgestellt, mit dem man sich von der Gefährlichkeit des Sachverhalts überzeugen kann. Schuld ist wieder einmal Microsofts Active-X-Technologie Dank des "Windows Scripting Hosts" ist die die Ausführung von Scripts auf den Festplatten ahnungsloser Anwender möglich. Guninskis Beispiel plaziert eine ausführbare HTML-Datei (Endung .HTA) im Autostart-Ordner von Windows. Beim nächsten Systemstart wird das - in diesem Fall harmlose - Script ausgeführt. Im schlimmsten Fall könnte in einem solchen Script beispielsweise ein Befehl zum Formatieren der Festplatte stehen. Das Problem liegt nach Aussage von Guninski an dem Active-X-Control namens "Object for constructing type libraries for scriptlets". Microsoft habe den Bug bereits reproduziert und arbeite an einer Fehlerbehebung. Anwender können sich derzeit nur schützen, indem sie im Browser in den Internetoptionen unter Sicherheit in der "Sicherheitsstufe für Internet" die "Active-X-Steuerelemente" deaktivieren. Über aktuelle Bugfixes informiert Microsoft auf einer Web-Site. (internetworld)