Web

Leck im Internet Explorer ermöglicht Datenspionage

11.10.2004

Durch einen Fehler im Microsoft-Browser Internet Explorer (IE) können Unbefugte mittels Javascript lokal gespeicherte Dateien lesen, warnte der IT-Sicherheitsdienstleister Grey Magic bereits im August 2002. Microsoft beseitigte das Problem noch im gleichen Monat mit einem Bugfix. Nun entdeckte der bulgarische Experte Georgi Guninski die Sicherheitslücke wieder - im aktuellen mit allen Patches versehenen IE.

Zwar soll die standardmäßig eingestellte Sicherheitsoption "Auf Datenquellen über Domänengrenzen hinweg zugreifen" verhindern, dass lokal oder im Intranet abgelegte Inhalte ausgespäht werden können, doch bei XML-Dateien, die aus dem Internet nachgeladen werden, findet keine ausreichende "Cross-Domain"-Überprüfung statt, sagt Guninski. Um Zugriff auf die lokalen Inhalte zu erhalten, müssen Angreifer jedoch die genauen Speicherorte und die Namen der Dateien kennen. Sicherheitsexperten empfehlen, die Active-Scripting-Funktionen des IE zu deaktivieren. (lex)