Datendiebstahl mit Internet Explorer 4
(ots) - Während Sie im Web surfen oder Ihre Email lesen,
stiehlt ein Angreifer aus dem Internet ungehindert ihre Daten. Diese
Horrorvorstellung macht der neue Internet Explorer 4 von Microsoft
zur Realität. Er ermöglicht es, Befehle in Web-Seiten und Email zu
verstecken, durch die heimlich Dateien an Unbefugte übermittelt
werden können.
Internet Consultant Ralf Hüskes, der das Microsoft-Produkt im
testete, bewertet die Sicherheitslücke als ein ernstes Problem
für Endanwender und Firmen: "Nicht einmal ein durch Firewall
geschütztes Firmen-Netz ist vor diesem Angriff sicher." Das
Sicherheitsloch beruhe nicht auf einem Programmfehler,
sondern sei konzeptbedingt. Es besteht auch dann, wenn die
Sicherheitsoptionen des Browsers auf die Standardwerte für "hoch"
eingestellt sind.
Mindestens Text- und HTML-Dateien lassen sich auf diese Weise von
aussen ausspähen. Ob auch andere Dateitypen betroffen sind, ist noch
ungeklärt. Einziges Hindernis für den Angreifer: Er muss die Dateien
durch Pfadangaben beziehungsweise Adressen im Intranet genau
spezifizieren. Da viele Programme beispielsweise unter Windows
standardisierte Verzeichnisnamen verwenden, hat der Datendieb jedoch
sehr gute Chancen, etwa Dateien eines Homebanking-Programms
abzurufen.
Der Trick ist sehr einfach und basiert auf Microsofts Dynamic
HTML. Der Angreifer versteckt in Webseite oder Mail einen sogenannten
IFRAME mit einem Verweis auf das gesuchte Dokument. Während das
arglose Opfer liest, lädt der Microsoft-Browser oder der Mail Client
Outlook Express die betreffende Datei in das unsichtbare Fenster. Ein
weiterer versteckter IFRAME schickt sie an den Server des Hackers.
Schützen kann man sich derzeit nur, indem man die Funktion "Active
Scripting" für alle Internet-Zonen in den Grundeinstellungen des
Internet Explorer ausser Kraft setzt. (Zu finden im Menü "Ansicht",
Menüpunkt "Internetoptionen", Reiter "Sicherheit", Schaltfläche
"Einstellungen"). Dadurch gehen aber auch wichtige Programmfunktionen
verloren; viele Web-Angebote lassen sich nicht mehr nutzen.
Microsoft reagierte eilends auf Mitteilung der Testergebnisse.
Softwareentwickler aus der Konzernzentrale in Redmond informierten
sich über die technischen Details und wählten sich auf einem eigens
zum Beweis der Sicherheitslücke eingerichteten deutschen Webserver
ein. Ein Sprecher erkläre kurz darauf, ein Korrektur-Programm werde
voraussichtlich noch am heutigen Freitag auf Microsofts Webserver
(www.microsoft.com) bereitgestellt. Man halte den Fehler aber nicht
für so schwerwiegend. Es sei nicht möglich, Dateien mit dieser
Methode zu ändern oder zu zerstören.
|