Wieder einmal wurde eine krasse Sicherheitslücke in Microsofts in Windows verschachtelten Browser entdeckt. Über die Zeichenfolge %2F in einer Webadresse lässt sich ein Schrägstrich in die Adresse einbauen, welcher bei URLs das Hierarchie-Trennzeichen darstellt. Ein solche URL wäre zum Beispiel:
http://www.planet3dnow.de%2F redir=.google.de
Wird so eine Adresse im Internet Explorer aufgerufen, lädt dieser korrekt die zweite Domain - in diesem Fall google.de - würde für diese allerdings die Sicherheitseinstellungen von planet3dnow.de anwenden. Konkret heisst das: Hat der Nutzer die erste Domain in seine Liste vertrauenswürdiger Seiten aufgenommen, darf die tatsächlich aufgerufene Seite ebenfalls mit diesen weniger scharfen Sicherheitseinstellungen umgehen. So könnte sie zum Beispiel ActiveX-Controls und Skripte ausführen, was sie bei einem direkten Aufruf nicht dürfte. Dadurch wird der Seite beispielsweise ermöglicht, einen Trojaner auf das System des Anwenders einzuschleusen.
Bisher gibt es leider noch keinen Patch von Microsoft, der das Problem verhindert. Einmal mehr zeigt sich, welche teilweise banalen Löcher das Sicherheitskonzept des Windows-Standard-Browsers enthält, und so empfiehlt sich erneut zum aktiven Surfen die Benutzung eines alternativen Browsers, wie Mozilla oder Opera. Regelmässiges Vorbeischauen bei Windows Update ist auch von Vorteil.
Diesen Artikel bookmarken oder senden an ...
