Auch das letzte Microsoft-Update lässt Sicherheitslöcher des Internet Explorer offen. Eine Demo auf dem c't Browsercheck Derzeit ist mindestens ein Sicherheitsproblem bekannt, mit dem sich Böswillige über präparierte Webseiten die Rechte der Zone "Lokaler Rechner" erschleichen können. Mit diesen Rechten haben Skripte Zugriff auf ActiveX-Objekte wie Shell.Application. Dessen Methode ShellExecute erlaubt es, beliebige, installierte Programme zu starten. Die c`t-Demo startet über den Kommandzeilen-Interpreter cmd.exe das Kommando "dir /p". Genauso gut aber könnte eine bösartige Web-Seite auch alle Dateien löschen. Die Demo funktionierte in Tests mit Windows XP und IE 6 mit allen aktuellen Patches. Um sich zu schützen, können IE-Anwender Active Scripting deaktivieren. Damit funktionieren allerdings eine ganze Reihe von Web-Sites nicht mehr. Alternativ können Sie auch einen anderen Browser einsetzen. (06.07.04 - 16:30) demonstriert die damit verbundenen Probleme.
|