Web

 

Neue Lecks im Internet Explorer, neuer Netscape-Browser

18.11.2004

MÜNCHEN (COMPUTERWOCHE) - Sicherheitsexperten warnen vor weiteren Sicherheitslücken im Internet Explorer (IE). So lassen sich unter anderem Sicherheitsfunktionen des Service Pack 2 (SP2) für Windows XP umgehen.

Eine Schutzfunktion von Windows XP SP2 gibt Warnhinweise aus, wenn bestimmte aus dem Web geladene Dateitypen geöffnet werden sollen. Werden solche Dateien jedoch mit einem manipulierten "Content-Location"-Header gesendet, wird diese Sicherheitsmeldung unterdrückt, heißt es in einem Security-Advisory des IT-Sicherheitsdienstleisters Secunia. Ein weiterer Fehler betrifft die Javascript-Funktion "execCommand()", über die sich HTML-Dokumente speichern lassen. Ist Windows mit den Standardeinstellungen konfiguriert, die Extensions bekannter Dateitypen ausblenden, können Anwendern unbemerkt ausführbare Programme mit der Dateiendung "html" untergeschoben werden, sagen die Secunia-Experten. Sie empfehlen, in den Sicherheitseinstellungen des Browsers die Drag-and-Drop-Funktionen zu deaktivieren und Windows so zu konfigurieren, dass alle Dateitypen eingeblendet werden.

Ein weiteres Advisory beschreibt einen Fehler in der automatischen Behandlung von Cookies. Er ermöglicht es, Cookies vertrauenswürdiger Web-Seiten zu überschreiben. Unter Umständen können dann Angreifer Zugriff auf die Web-Seiten erhalten, die das ursprüngliche Cookie gesetzt haben. Das funktioniert jedoch nur, wenn die vertrauenswürdige Seite die Cookies und die Authentifizierung unsicher verarbeitet. Die Sicherheitslücke ist mit dem SP2 für Windows XP geschlossen. Anwendern älterer Windows-Versionen empfiehlt Secunia, die automatische Cookie-Behandlung des IE aufzuheben.

Microsoft plant unterdessen US-Medienberichten zufolge Funktionserweiterungen für den IE. Zwar soll nach wie vor keine Stand-alone-Version angeboten werden, es gebe jedoch die Möglichkeit, von Anwendern stark nachgefragte Features als Plug-ins in die bestehenden Browser-Varianten einzubinden, sagte Gary Schare, Director of Product Management for Windows bei Microsoft. Eine neue IE_Version komme aber erst mit dem Windows-XP-Nachfolger "Longhorn".

Auch AOL will seinen mit Netscape übernommenen Browser wieder aufleben lassen. Die kommende Version wird laut Unternehmenssprecher Andrew Weinstein auf dem Code des Mozilla-Browers "Firefox" basieren und durch zusätzliche Funktionen angereichert, die eine neue Art des Web-Zugriffs ermöglichen sollen. Eine Testversion des neuen Netscape-Browsers hat AOL für den 30. November angekündigt. (lex)

Inhalt dieses Artikels