cnt

Leck in IE 5.x noch immer präsent

Microsoft muss sich noch einmal mit dem bereits als beseitigt geglaubten %01-Bug herumschlagen.
11. Oktober 2000

     

Ein Sicherheitsloch, das im Januar von Georgi Guninski entdeckt und von Microsoft angeblich beseitigt wurde, macht dem Browser jetzt erneut zu schaffen. Der Verursacher des %01-Sicherheitsbugs scheint die Microsoft Scriptlet Component zu sein. Hängt man einer URL einen Code an, nimmt der Browser an, die geladene Seite stamme direkt von der angegebenen Site und umgeht so die Sicherheitseinstellungen des Browsers. Ein Hacker kann so einen Besucher seiner Site über zwei Wege angreifen. Zum einen kann er lokale Files auswählen, sofern ihm der Dateiname bekannt ist. Der zweite Weg, das sogenannte Window Spoofing ist aber wesentlich gefährlicher. Der Hacker kann so dem Internet Explorer vorgaukeln, er befinde sich auf einer sicheren Seite, obwohl der Zugriff nach wie vor auf der Hackerseite erfolgt. Ausserdem können über den umgekehrten Weg zum Beispiel über Cookies Benutzerdaten abgefangen werden.
Microsoft hat für die Bug-Meldung von Alp Sinan, dem Entdecker, noch keine Lösung geliefert.
Der einzige Weg, den Bug zu umgehen, ist momentan nur die Deaktivierung des Skriptings oder die Unterbindung der Ausführung von ActiveX-Steuerelementen über die Sicherheitseinstellungen. (mw)


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Wieviele Zwerge traf Schneewittchen im Wald?
GOLD SPONSOREN
SPONSOREN & PARTNER