722202

Internet-Explorer: Gefahr für lokale Daten

Anforderung

Zeitaufwand

Microsoft produziert laufend Updates für den Internet Explorer 3.0. Damit sollen Fehler im Sicherheitssystem beseitigt werden. Ist ein Update notwendig, und welche Fehler werden damit behoben?

Das Update ist dringend zu empfehlen. Die Fehler im Internet Explorer resultieren aus der Leichtsinnigkeit der Entwickler, die das Programm mit noch mehr Komfort für den Benutzer ausstatten wollten. Der Internet Explorer kann Dateien mit der Namensendung LNK oder URL ausführen und folglich lokale Programme auf Ihrem Rechner starten.Die gleiche Funktion steht auch dann zur Verfügung, wenn diese Dateien als Link in eine HTML-Seite eingebunden sind. Ein Klick auf den Link führt dann nicht, wie erwartet, auf eine neue HTML-Seite, sondern kann zerstörerische lokale Programme wie FORMAT.EXE oder DELTREE.EXE starten und damit Daten auf der lokalen Festplatte löschen.Betroffen von der Sicherheitslücke sind die Versionen 2.0 und 3.0 des Internet Explorers - sowohl unter Windows 95 als auch Windows NT. Benutzer der Browser von Compuserve und AOL sollten sich gleichfalls um Updates bemühen. Beide Programme setzen den Internet Explorer ein und weisen deshalb die gleichen Fehler auf.Sie können das selbst nachvollziehen, indem Sie den Internet Explorer starten und auf "Datei, Öffnen" und dann auf die Schaltfläche "Durchsuchen" klicken. Wählen Sie jetzt eine Datei mit der Endung LNK aus, und bestätigen Sie zweimal mit "OK". Je nach Sicherheitseinstellung (siehe "Ansicht, Optionen, Sicherheit") erhalten Sie jetzt eine Warnmeldung, die Ihnen vorschlägt, die Datei zu speichern oder zu öffnen. Wenn Sie "Öffnen" wählen, startet das entsprechende Programm.

Wie das Ganze im Internet funktioniert, können Sie unter der Adresse http://www.cybersnot.com/iebug.html testen. Hier wird auch demonstriert, wie sich die Registrierdatenbank durch Klick auf eine Internet-Seite manipulieren läßt, um die Sicherheitseinstellungen des Internet Explorers ganz abzuschalten.Aber schlimmer noch: Weitaus größere Gefahren drohen durch Dateien mit der Namensendung ISP. ISP-Dateien sind Scripts für die Konfiguration von Internet-Verbindungen über den "Assistenten für den Internet-Zugang". Auch hier können Sie den Fehler selber testen, indem Sie eine Textdatei mit dem folgenden Inhalt erstellen:[Entry]Run=c:\command.comArgument=/c mkdir c:\testdirEs handelt sich um den Aufruf eines einfachen DOS-Befehls. Speichern Sie diese Datei unter dem Namen MKDIR.ISP, und öffnen Sie sie wie oben beschrieben mit dem Internet Explorer. Danach finden Sie auf Ihrer Festplatte ein neues Verzeichnis mit dem Namen "\Testdir". Erstellen Sie jetzt die Datei DELDIR.ISP:[Entry]Run=c:\windows\command\start.exeArgument=/m c:\command.com /c deltree /y c:\testdirWenn Sie diese Datei mit dem Internet Explorer ausgeführt haben, wird das eben angelegte Verzeichnis wieder gelöscht. Die besondere Gefahr der ISP-Scripts liegt darin, daß sie -anders als LNK-Dateien -nicht erst durch einen Klick geladen werden müssen. Sie werden in eine HTML-Seite eingebunden und gleich beim Laden dieser Seite ausgeführt. Eine Demonstration finden Sie auf der Web-Seite http://web.mit.edu/crioux/www/.Besorgen Sie sich deshalb die neuesten Updates des Internet Explorers (http://www.microsoft. com/ie/download). Der beschriebene Fehler sollte damit behoben sein. Die Ausführung von LNK-, URL- und ISP-Dateien ist damit zwar immer noch möglich, aber Sie erhalten jetzt zumindest zuvor ausführliche Meldungen, die Sie vor den Gefahren warnen. -te

PC-WELT Marktplatz

722202