209874

IE-Schwachstelle und Google Desktop laden zur Spionage ein

05.12.2005 | 14:25 Uhr |

Eine Sicherheitslücke im Internet Explorer erlaubt den Zugriff auf lokale Dateien über die Google Desktop-Suche.

Die Kombination von Google Desktop mit einer Sicherheitlücke im Internet Explorer kann das Ausspionieren von lokal gespeicherten Daten ermöglichen. Der Israeli Matan Gillon hat in seinem Weblog eine Demonstration veröffentlicht, wie dies über eine präparierte Web-Seite ausgenutzt werden kann.

Das Problem liegt in einer Sicherheitslücke im Internet Explorer, die durch eine zu schwache Prüfung von Stylesheet-Dateien entsteht. Dadurch kann auch Javascript-Code von fremden Web-Seiten importiert und ausgeführt werden. Die von Matan Gillon demonstrierte Schwachstelle nutzt eine installierte Google-Desktop-Suche, um Zugriff auf lokale Dateien und Mails zu erhalten. Dazu muss ein Angreifer ein potenzielles Opfer auf eine vorbereitete Web-Seite locken, etwa über einen Link in einer Mail.

Google hat bereits auf die Veröffentlichung der Sicherheitslücke reagiert und Änderungen vorgenommen. Somit funktioniert die Demonstration von Matan Gillon nicht mehr. Das Kernproblem, die Schwachstelle im IE, bleibt jedoch bestehen und kann vermutlich auch auf anderem Wege ausgenutzt werden. Andere Browser wie Firefox oder Opera sind davon nicht betroffen.

Zusammen mit den in der letzten Woche veröffentlichten Exploits für bereits bekannte Sicherheitslücken im IE entsteht ein dringender Bedarf nach einem Sicherheits-Update für den Internet Explorer. Microsoft empfiehlt bislang die Ausführung von Active Scripting zu deaktivieren oder zumindest auf "Eingabeaufforderung" einzustellen. Es bleibt abzuwarten, ob Microsoft noch vor dem regulären Update-Termin, 13. Dezember, ein Update bereit stellt.

0 Kommentare zu diesem Artikel
209874