Redmond - Bereits kurz nach dem Erscheinen des
Internet Explorers 5.5 ist die erste Sicherheitslücke in Microsofts
Webbrowser entdeckt worden. Bug-Jäger Georgi Guninski hat herausgefunden,
dass ein Angreifer den Browser dazu benutzen kann, Dateien auf dem Rechner
seines Opfers auszuspähen. Das Sicherheitsloch lässt sich auch über
HTML-E-Mails ausnutzen, also beispielsweise via Outlook oder Outlook
Express.
Ursache des Problems ist laut Guninski ein ActiveX-Control, das mit dem
Internet Explorer mitgeliefert wird. Das so genannte DHTMLED-Control
(Dynamic HTML Edit Control für den IE 5) lässt sich derart zweckentfremden,
dass es einem Eindringling Zugriff auf Text- und HTML-Dateien ermöglicht.
Allerdings muss der Angreifer den genauen Dateinamen und -pfad kennen. Auf
seiner Homepage gibt Guninski http://www.nat.bg/~joro/dhtmled2.html neben
einer genauen Beschreibung auch eine Demonstration des Problems. Als Abhilfe
empfiehlt der Bug-Jäger, die Ausführung von ActiveX-Control zu deaktivieren.
Neben dem IE 5.5 ist auch dessen Vorgänger 5.01 betroffen. Getestet hat
Guninski das Problem nur mit der Windows 98-Version des Internet Explorer;
er geht aber davon aus, dass auch die Releases für andere Betriebssysteme
betroffen sind. Ein Patch von Microsoft, der das Problem behebt, existiert
noch nicht. (heise/golem)
