MÜNCHEN (COMPUTERWOCHE) - Der bulgarische Bug-Jäger Georgi Guninski ist beim Internet Explorer wieder einmal fündig geworden. Schuld ist auch dieses Mal ein ActiveX-Control: Es erlaubt beim Internet Explorer 5.5 dem Betreiber von Webseiten das unberechtigte Lesen lokaler Dateien des Opfer-PCs.

Die Sicherheitsvorkehrungen beim IE5.5 dürften eigentlich nur dem Besucher der Site das Lesen seiner Dateien in einem Browser-Fenster erlauben. Bringt der Angreifer jedoch eine bestimmte Javascript-Adresse in dieses Fenster, so kann auch er die lokale Datei lesen.

Guninski gibt auf seiner Site eine genaue Beschreibung des Problems. Microsoft selbst untersucht eigenen Angaben zufolge derzeit die Schwachstelle.

Für ein anderes Problem liefert Microsoft indes nun einen Patch. Beim Internet Information Server (IIS) konnte es unter gewissen Bedingungen zu Ausfällen kommen: Erhielt ein Webserver eine bestimmte ungültige URL, so ließ sich damit ein ganze Kette von Anfragen starten, die im schlimmsten Fall zum Ausfall des Servers führten. Der IIS-Service musste neu gestartet werden. Laut Microsoft liegt der Fehler im Zusammenspiel von Windows NT 4.0 und IIS. Das Unternehmen rät deshalb NT-4.0-Anwendern, den Patch zu installieren.