Der bei PivX Solutions beschäftigte dänische Sicherheitsexperte Thor Larholm hat eine
Warnung vor einem Sicherheitsloch im Internet Explorer veröffentlicht. Das Leck erlaubt es Angreifern, auf dem Benutzer-PC lokale Dateien und Cookies auszulesen oder Programme zu starten. Larholm und PivX schätzen die Sicherheitslücke als schwerwiegend ein.
Der Fehler wird als "Cross Domain Scripting Flaw" bezeichnet. Eine fehlende Cross Domain-Sicherheitsüberprüfung im Internet Explorer ermöglicht es, dass Java-Script-Befehle auf die Inhalte einer anderen gleichzeitig geöffneten Webpage zugreifen, die nicht vom selben Server stammt. Damit kann ein Angreifer mit präparierten HTML-Objekten in einer E-Mail oder Webpage auf lokale Daten zugreifen oder ein Programm zur Ausführung bringen.
Larholm hat Microsoft bereits am 25. Juni über die Sicherheitslücke informiert. Nachdem er nach eigenen Angaben innerhalb von zwei Wochen keine Antwort erhalten hatte, entschloss er sich, die Sicherheitslücke zu veröffentlichen. Zum Schutz vor der Sicherheitslücke empfiehlt es sich das Scripting von ActiveX-Controls zu deaktivieren. (pte)
Links zum Thema:
Navigation
Leck im IE ermöglicht Auslesen lokaler Dateien
Linear-Darstellung
