Der bulgarische Bug-Jäger Georgi Guninski hat ein Leck in Microsofts Windows Explorer sowie im Internet Explorer aufgedeckt. Mit einem Trick lassen sich gefährliche, ausführbare Dateien hinter harmlosen Endungen wie beispielsweise .txt verstecken. Anstelle mit der zugehörigen Endung speichert man eine Datei auf die Klassen-ID (CLSID). So kann beispielsweise eine HTML-Applikation als .txt-File abgespeichert werden. Sowohl der Windows wie auch der Internet Explorer zeigen das File darauf nur als .txt-File an, die eigentliche, gefährliche CLSID wird auf den ersten Blick unterschlagen. Ein Doppelklick auf das vermeintlich harmlose File genügt, um unter Umständen grossen Schaden auf einem Rechner anzurichten. Auf der
Site von Georgi Guninski findet sich eine genau Demonstration des Problems.
(mw)