245346

Sicherheitslücke im IE 5.5

02.10.2000 | 16:55 Uhr |

Benutzer des Internet Explorer 5.5 können Links zu "vertrauenswürdigen" Seiten nicht mehr trauen. Die verlinkende Seite könnte Code enthalten, der beim Erscheinen der neuen Seite ausgeführt wird. Dabei gelten die Sicherheitseinstellungen der neuen Seite. Wenn der IE 5.5 diese als "sicher" einstuft, stehen böswilligen Angreifern dennoch alle Türen zu Ihrem Rechner offen.

Benutzer des Internet Explorer 5.5 können Links zu "vertrauenswürdigen" Seiten nicht mehr trauen. Die verlinkende Seite könnte Code enthalten, der beim Erscheinen der neuen Seite ausgeführt wird. ActiveX-Elemente können so ausgeführt werden oder Passworteingaben und Kreditkartennummern ausgespäht werden.

Der Grund dafür ist, dass der Code der alten Seite mit den Sicherheitseinstellungen der neuen Seite ausgeführt wird. Wenn der IE 5.5 diese als "sicher" einstuft, stehen böswilligen Angreifern dennoch alle Türen zu Ihrem Rechner offen. Um die Sicherheitslücke bis zum Erscheinen eines geeigneten Updates zu umgehen, müssen ActiveX und Javascript deaktiviert werden.

Die Sicherheitslücke entsteht dadurch, dass eine Seite, von der auf eine andere Seite verwiesen wird, im IE 5.5 auf das Document Object Model (DOM) der neuen Seite zugreifen kann. Das DOM ist ein Interface, das unter anderem die Art und Weise bestimmt, in der ein HTML- oder XML-Dokument verwaltet oder manipuliert wird.

Die neu entdeckte Sicherheitslücke soll sich mit etwas Geschick so ausnutzen lassen, dass nicht nur das nächste geöffnete Dokument im IE 5.5 ausgespäht werden kann, sondern alle weiteren, die im gleichen Fenster geöffnet werden.

In einem Test der PC-WELT ließ eine englischsprachige Demonstrationsseite der Sicherheitslücke den Internet Explorer Hotmail-Passwörter ausspähen und Dateien auf dem Windows-Desktop speichern. (PC-WELT, 02.10.2000, meh)

Eine englischsprachige Dokumentation der Möglichkeiten der Sicherheitslücke

Bug im Internet Explorer: Dateien lesbar (PC-WELT Online, 27.9.2000)

Sicherheitslöcher in Office und IE behoben (PC-WELT Online, 17.7.2000)

Sicherheitslücke betrifft nicht nur Microsoft (PC-WELT Online, 5.9.2000)

Win 2000 Sicherheitslücke (PC-WELT Online, 9.8.2000)

Sicherheitsloch in Outlook (PC-WELT Online, 19.7.2000)

Security-Update für Outlook (PC-WELT Online, 9.6.2000)

PC-WELT aufgedeckt: Unzulängliche Sicherheit um jeden Preis?

0 Kommentare zu diesem Artikel
245346