Erst kürzlich erregte der Hamburger Chaos Computer Club Aufsehen, als er mittels einer Active-X-Komponente der Home-Banking-Software "Quicken" gefälschte Transaktionen unterschob. Microsoft verteidigte sich damit, daß die Warnfunktionen des Browsers deaktiviert worden seien.

Die jüngst bekanntgewordenen Sicherheitsmängel des IE entdeckten Studenten des Worcester Polytechnic Institute. Sie versetzen böswillige Betreiber von Web-Servern in die Lage, nahezu beliebige Aktivitäten auf der Client-Maschine auszuführen, ohne dafür Active X Controls zu benutzen. Deshalb greifen in diesem Fall auch die Warnfunktionen des Browsers nicht. Die neuen Sicherheitslecks entstehen dadurch, daß der IE bestimmte Windows-Dateitypen direkt ausführt.

Dazu gehören die sogenannten "Verknüpfungen" (Endung *.LNK) und "Internet Shortcuts" (Endung *.URL). Erstere entstehen üblicherweise dann, wenn Anwender Programmsymbole auf der grafischen Oberfläche einrichten. Die LNK-Dateien enthalten im wesentlichen nur die Befehlszeile für die betreffende Anwendung. Verbirgt ein Web-Anbieter hinter Hyperlinks LNK- oder die für Internet-Ressourcen analog funktionierenden URL-Dateien, dann lädt sie Microsofts Browser herunter und startet ohne Rückfrage die Anwendung, die innerhalb einer Verknüpfung angegeben ist (Demonstration auf http://www.cybersnot.com).

Microsoft argumentierte, daß Hacker ja nicht wissen könnten, wo auf der Festplatte von Anwendern welche Programme installiert seien. Dies wäre jedoch notwendig, um die korrekten Programmaufrufe in eine LNK- oder URL-Datei einzufügen. In der Praxis installiert aber die Mehrheit der Windows-Nutzer das Betriebssystem in das Verzeichnis C:

Windows. Alle standardmäßig mitgelieferten Dienstprogramme sind deshalb leicht zu erreichen: Die Möglichkeiten böswilliger Eindringlinge reichen vom Löschen ganzer Verzeichnisbäume bis zum Formatieren der Festplatte. Tückisch dabei ist, daß LNK- und URL-Dateien zulassen, Programme als Symbol zu starten und so Vorgänge vor dem Anwender zu verbergen.

In einem ähnlich gelagerten Fall hatten einige Tage zuvor Studenten des Massachusetts Institute of Technology (MIT) mit Hilfe des HTML-Tags "Meta/Refresh" Batch-Dateien auf den Client heruntergeladen, wo sie ausgeführt wurden. Die Demostration unter http://web.mit.edu/crioux/www/ie/ zeigt einen FTP-Dateitransfer ohne Eingriff des Benutzers.

Aufgeschreckt durch die Mängelberichte machte sich Microsoft eilig an die Fehlerbehebung. Für die US-Versionen 3.0 und 3.01 des IE stehen unterschiedliche Patches zur Verfügung, internationale Ausführungen sollen folgen. Nicht gestopft sind damit die Sicherheitslöcher für Microsofts News-Reader und das Mail-Front-end.

Kritiker sehen in den Mängeln nicht einfach Programmierfehler. Vielmehr liege wegen der engen Integration des Browsers mit dem Betriebssystem ein konzeptionelles Problem vor. Dieses könnte sich mit der geplanten Verschmelzung des IE mit Windows noch verschlimmern. Umgekehrt treten diese Sicherheitslücken beim "Netscape Navigator", aber auch beim IE für den Apple Macintosh nicht auf.

Verschärfend kommt hinzu, daß Windows-Altlasten wie die Verknüpfung von Daten und Programmen über die jeweilige Dateiendung Hackern immer neue Angriffsflächen bieten.