Microsoft
Achtung vor dem "Zurück-Knopf" - Neue Sicherheitslücke im Internetexplorer
Programme können auf lokalen Rechner gestartet werden - Daten werden ausgelesen
Eine neue Sicherheitslücke des Microsoft
Internet Explorers wurde entdeckt. Der Fehler wurde von einem schwedischen Physik-Studenten entdeckt und bei
Bugtraq
veröffentlicht.
Durch die Lücke kann es geschehen, dass Programme auf dem lokalen Rechner gestartet oder Daten auggelesen werden, wenn der Anwender den Back Button betätigt.
Auch mit neuesten Patches droht Gefahr
Der Fehler wird durch die Benutzung von Java Script möglich. Nach dem auf Bugtraq beschriebenen Verfahren werden URLs über einen Script-Befehl aufgerufen. Klickt der User dann auf den Back-Button, kann über das Script entweder eine lokale Anwendung gestartet werden oder eine Aktion stattfinden, die eigentlich nur in Verbindung mit der zuvor besuchten Site möglich ist. Dabei werden die Rechte der besuchten Zone/Domain für die Site übernommen, auf die der Back-Button zurückführt. Dies bedeutet, dass ein Link auf eine lokale Datei nach einem "Zurück" dazu führt, dass Anwendungen auf der eigenen Festplatte extern gestartet werden können. So wird es bei einem Besuch einer externen Site möglich, Cookie-Daten auszulesen, die sonst nur an die entsprechende Site zurückgegeben werden dürfen.
Testsite
Der Fehler dürfte bei den Versionen 5.5 und 6.0 unter verschiedenen Windows-Versionen bestehen, eine
Demo-Site
für Testzwecke, geschaffen von einem eines engagierten Users names Eric, ist bereits im Netz. Das Problem besteht auch, wenn alle Patches und Updates installiert wurden, als Abhilfe sollte man "ActiveScripting" auch in der lokalen Zone des Internet Explorers verbieten.
Microsoft hat bisher noch nicht reagiert.(red)