20502

Sicherheits-Einstellungen wirkungslos

22.02.2002 | 14:08 Uhr | Hans-Christian Dirscherl

Die betroffene ActiveX-Komponente ignoriert die vom Benutzer im Internet Explorer getroffenen Sicherheits-Einstellungen in einem bestimmten Fall. Schickt eine Website eine "XML HTTP Get-Anfrage" an das System, die sich auf eine lokale Datei bezieht, so müsste dies eigentlich blockiert werden, sofern der Benutzer dies im Internet Explorer so eingestellt hat. Doch wenn die GET-Anfrage über einen Redirect (Umleitung) erfolgt, kann sie diese Sperre umgehen.

Sicherheits-Einstellungen können umgangen werden

Der Angreifer muss den Benutzer auf eine von ihm präparierte Seite locken, eine HTML-Mail reicht hierzu nicht aus. Falls der Angriff erfolgreich ist, kann der Hacker von dem attackierten Rechner Dateien herunterladen und lesen, aber nicht ändern oder löschen, er besitzt also nur Lese- aber keine Schreibrechte.

Hierzu muss der Angreifer allerdings die exakten Verzeichnispfade und die Dateinamen kennen.

Microsoft, das die Sicherheitslücke als kritisch einstuft, hat bereits reagiert und einen Patch zum Download zur Verfügung gestellt, um diese Lücke zu schließen.

PC-WELT Marktplatz

20502