Zurück-Knopf im Internet Explorer kann gefährlich sein
Sicherheitsloch ermöglicht das Lesen von Dateien oder Starten von Programmen
Wie auf der Mailingliste Bugtraq zu lesen ist, besitzt der Internet Explorer 6.0 ein Sicherheitsleck, das es Angreifern ermöglicht, JavaScript-Code bewusst in die History-Liste des Browsers zu integrieren. Mit einer präparierten Webseite können Angreifer eine Betätigung des "Zurück-Knopfs" im Internet Explorer erzwingen, um so Dateien zu lesen oder ein Programm auf dem System zu starten.
Die Sicherheitslücke wurde von dem Schweden Andreas Sandblad entdeckt, der darin aber nur ein mittleres Risiko sieht, weil der Anwender dazu aktiv werden muss. Ein über den Zurück-Knopf aufgerufener JavaScript-Code wird in der Sicherheitszone ausgeführt, die der Internet Explorer bei der zuletzt geöffneten Seite gewählt hat, so dass sonst übliche Sicherheitsvorkehrungen umgangen werden können.
Derzeit existiert nach Angaben von Andreas Sandblad keine Möglichkeit, sich gegen solche Angriffe zu schützen. Die Schwachstelle wurde im aktuellen Internet Explorer 6.0 mit allen verfügbaren Patches entdeckt. Ob das Problem auch in früheren Versionen des Internet Explorer auftaucht, ist derzeit nicht bekannt. Bleibt derzeit also nur der Ausweg, auf einen Patch von Microsoft zu warten, der das Sicherheitsloch wieder schließt.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
Der Zurück-Knopf ist noch das kleinere Übel, wenn man bedenkt, das der PC formatiert...
Ich hab's mit dem Konqueror ausprobiert ... da ist der Sicherheitsleck auch nicht !!!
Habs gerade mal ausprobiert mit IE 5.0 - da scheint der Bug nicht zu existieren.