Netzpolitik
Internet Explorer als Spion
Websteiten können auf jede Textdatei eines Anwenders zugreifen
Der bulgarische Bug-Jäger Georgi Guninski
hat eine neue Sicherheitslücke im
Konzept des Internet Explorers 5 (IE5) gefunden. Über eine
Downloadfunktion kann eine WWW-Site beliebige Textdateien vom
heimischen Rechner ausspionieren, deren Speicherort bekannt ist; die
Dateierweiterung ist dabei unerheblich. Auch Teile von Binärdateien sollen
über diesen Angriff lesbar sein.
Guninski hat auf seinen Webseiten eine
Demonstration
eingerichtet. Wer einen
E-Mail-Client oder Newsreader benutzt, der mittels IE5 HTML-Nachrichten
dekodiert, ist auch über diese Dienste verwundbar. Es ist nicht notwendig,
dass der Surfer - wie in Guninskis Beispielcode - auf einen Link klickt: Die
Funktion lässt sich auch automatisch starten. Als Gegenmaßnahme empfiehlt
es sich, Active Scripting in den Internetoptionen/Sicherheit für die
Internet-Zone abzuschalten. (heise)