zurück zum Artikel

Es tauchen immer mehr Methoden auf, über den Internet Explorer lokale Dateien der Benutzer auszuspionieren -- und Microsoft schweigt

Während der bereits am 19.12. gemeldete Bug im Internet Explorer [1], der das Auslesen beliebiger Dateien gestattet, immer noch nicht beseitigt ist, häufen sich die Meldungen über weitere Fehler dieser Art. Über die GetObject-Funktion des Browsers lassen sich laut dem Sicherheitsexperten Guninski [2] ebenfalls lokale Dateien auslesen. Auf der Mailingliste Bugtraq erschien ein Bericht [3], dass dies über die execScript-Funktion ebenfalls möglich sei.

Zu keinem der Sicherheitslöcher gibt es eine Stellungnahme von Microsoft -- oder gar einen Patch. Guninski empfiehlt, "Active Scripting" zu deaktivieren, was jedoch den Nachteil hat, dass dann viele Web-Seiten nicht mehr funktionieren. Noch besser sei es, den Internet Explorer erst gar nicht in "feindlichen Umgebungen wie dem Internet" einzusetzen.

Ob Ihre Browser-Konfiguration das Auslesen lokaler Dateien gestattet, können Sie im c't-Browsercheck [4] überprüfen. Guninskis Report konnten wir bisher nicht reproduzieren, so dass es dafür noch keinen Test gibt. (ju [5])

URL dieses Artikels:
https://www.heise.de/-54549

Links in diesem Artikel:
[1] https://www.heise.de/news/Die-naechste-Sicherheitsluecke-im-Internet-Explorer-52560.html
[2] http://www.guninski.com/getob3.html
[3] http://www.xs4all.nl/~jkuperus/bug2.htm
[4] http://www.heise.de/ct/browsercheck
[5] mailto:ju@ct.de

Copyright © 2002 Heise Medien