Thor Larholm hat laut dem deutschen Branchendienst Heise ein Sicherheitsloch im Internet Explorer veröffentlicht, das es ermöglicht, beliebige lokale Dateien oder Cookies auszulesen und auch Programme zu starten. Betroffen davon sind zumindest die Versionen 5.5 und 6.0 des Internet Explorer. Der Sicherheitsexperte Larholm betreibt eine Liste von Sicherheitslücken im Internet Explorer, auf der sich mittlerweile 19 Einträge ohne Patch finden. Das Sicherheitsproblem beruht auf fehlenden Cross Domain security checks. Diese sollen verhindern, dass zum Beispiel JavaScript auf den Inhalt einer gleichzeitig angezeigten, anderen Web-Seite zugreifen kann, die nicht vom selben Server stammt. Durch die fehlenden Tests ist es möglich, via JavaScript in ein eingebettetes Objekt eine lokale Datei einzulesen und deren Inhalt dann übers Internet zu versenden. Microsoft wurde über das Problem vor zwei Wochen unterrichtet, hat aber bisher keinen Patch veröffentlicht.
Freitag
12.07.2002
