zur Frontseite
17.10.97

Hackernews

Amigareview I

Sicherheitslücke bei MS Servern

Der Swisscom- Ueberwacher

Manipulierte Prozessoren

Microsoft 2000

Sicherheit bei Pagern

Musik für alle: MP3

Die Natel- Entschuldigung

Telefone abhören

Datendiebstahl mit IEX4

Keine 5555-Vebindung

Online Information

Was ist los mit Apple?

billiger telefonieren???

billiger Telefonieren

Störung im Videotex-Netz

MicroSoft wieder auf Systemerforschung

Der Trick mit Frames

AMD gegen Intel

Compi-Hilfe für die Züglete

MS IExplorer als Risiko

Sky - Karten

Telefonkarten

Cash Card

Redi Vision

Amigareview II

Fast Box

Amigareview I

Datendiebstahl mit Internet Explorer 4

(ots) - Während Sie im Web surfen oder Ihre Email lesen, stiehlt ein Angreifer aus dem Internet ungehindert ihre Daten. Diese Horrorvorstellung macht der neue Internet Explorer 4 von Microsoft zur Realität. Er ermöglicht es, Befehle in Web-Seiten und Email zu verstecken, durch die heimlich Dateien an Unbefugte übermittelt werden können.

Internet Consultant Ralf Hüskes, der das Microsoft-Produkt im testete, bewertet die Sicherheitslücke als ein ernstes Problem für Endanwender und Firmen: "Nicht einmal ein durch Firewall geschütztes Firmen-Netz ist vor diesem Angriff sicher." Das Sicherheitsloch beruhe nicht auf einem Programmfehler, sondern sei konzeptbedingt. Es besteht auch dann, wenn die Sicherheitsoptionen des Browsers auf die Standardwerte für "hoch" eingestellt sind.

Mindestens Text- und HTML-Dateien lassen sich auf diese Weise von aussen ausspähen. Ob auch andere Dateitypen betroffen sind, ist noch ungeklärt. Einziges Hindernis für den Angreifer: Er muss die Dateien durch Pfadangaben beziehungsweise Adressen im Intranet genau spezifizieren. Da viele Programme beispielsweise unter Windows standardisierte Verzeichnisnamen verwenden, hat der Datendieb jedoch sehr gute Chancen, etwa Dateien eines Homebanking-Programms abzurufen.

Der Trick ist sehr einfach und basiert auf Microsofts Dynamic HTML. Der Angreifer versteckt in Webseite oder Mail einen sogenannten IFRAME mit einem Verweis auf das gesuchte Dokument. Während das arglose Opfer liest, lädt der Microsoft-Browser oder der Mail Client Outlook Express die betreffende Datei in das unsichtbare Fenster. Ein weiterer versteckter IFRAME schickt sie an den Server des Hackers.

Schützen kann man sich derzeit nur, indem man die Funktion "Active Scripting" für alle Internet-Zonen in den Grundeinstellungen des Internet Explorer ausser Kraft setzt. (Zu finden im Menü "Ansicht", Menüpunkt "Internetoptionen", Reiter "Sicherheit", Schaltfläche "Einstellungen"). Dadurch gehen aber auch wichtige Programmfunktionen verloren; viele Web-Angebote lassen sich nicht mehr nutzen.

Microsoft reagierte eilends auf Mitteilung der Testergebnisse. Softwareentwickler aus der Konzernzentrale in Redmond informierten sich über die technischen Details und wählten sich auf einem eigens zum Beweis der Sicherheitslücke eingerichteten deutschen Webserver ein. Ein Sprecher erkläre kurz darauf, ein Korrektur-Programm werde voraussichtlich noch am heutigen Freitag auf Microsofts Webserver (www.microsoft.com) bereitgestellt. Man halte den Fehler aber nicht für so schwerwiegend. Es sei nicht möglich, Dateien mit dieser Methode zu ändern oder zu zerstören.
OTS, bearbeitet von Gaudimax (EMail)