238789

Alte IE-Schwachstelle noch immer ausnutzbar

13.10.2009 | 16:30 Uhr |

Eine bereits im letzten Jahr an Microsoft gemeldete Sicherheitslücke im Internet Explorer kann immer noch ausgenutzt werden. Beim Laden einer Textdatei führt der IE darin enthalten Javascript-Code aus.

Firefox zeigt nur Text an
Vergrößern Firefox zeigt nur Text an
© 2014

Das Szenario ist denkbar einfach: auf einem Web-Server liegt eine Textdatei, deren Name mit der Endung ".txt" versehen ist. Die scheinbar simple Textdatei enthält jedoch HTML- und Javascript. Wer erwartet, der Browser würde einfach nur die Textdatei anzeigen, liegt bei den meisten der aktuellen Browser richtig. Anders jedoch der Internet Explorer: der IE interpretiert darin enthaltene HTML-Anweisungen und führt Javascript aus. Bei heutigen Rekord-Patch-Day wird dieses Problem wohl nicht angegangen werden.

Dieses Risiko-behaftete Verhalten zeigt der IE in allen noch unterstützten Versionen, vom IE 6 unter Windows 2000 bis zum IE 8 unter Windows 7. Die Gegenprobe mit Firefox, Opera, Google Chrome und Apple Safari bringt hingegen das zu erwartende Ergebnis: diese Browser zeigen lediglich den Inhalt der Textdatei an, einschließlich HTML- und Javascript-Code. Interpretiert wird der Code dabei nicht.

Das Sicherheitsunternehmen ProCheckUp weist in einer kürzlich veröffentlichten Sicherheitsmeldung auf diese Schwachstelle hin. Es gibt ferner an, damit seien auch XSS- (Cross-site Scripting) und CSRF- (Cross Site Request Forgery) Angriffe möglich. Die Sicherheitslücke ist Microsoft bereits seit mehr als einem Jahr bekannt. Microsoft hat jedoch offenbar befunden , das Problem sei nicht ohne negative Folgen für bestehende Anwendungen lösbar und plant daher kein Update, um die Lücke zu beseitigen.

0 Kommentare zu diesem Artikel
238789