Tipps: E-Mails als Sicherheitslücke (WIN 01/1998)

E-Mails als Sicherheitslücke

Der Informatik-Lehrer unseres Gymnasiums hat den neuen Internet Explorer 4 von Microsoft als ätotal unsicherô bezeichnet. Er sagte, man müsse nur eine E-Mail mit einem entsprechenden Java-Script senden, das sich automatisch aktivieren und die Verbindung aufbauen würde. Dann könne es beispielsweise den Inhalt der Festplatte anzeigen. Hat der Internet Explorer wirklich eine solch eklatante Sicherheitslücke?

Tatsächlich ist eine große Sicherheitslücke im Internet Explorer 4 aufgetreten. Der freie Journalist und WIN-Autor Ralf Hüskes fand sie Mitte Oktober heraus. Sein Test ergab, daß ein gewiefter Hacker sowohl lokale als auch Server-Daten einsehen kann. Dabei ist es egal, ob die Daten im Intranet durch einen Firewall geschützt sind oder nicht.

Allerdings bezieht sich die Spionagetätigkeit nur auf beliebige Text- und HTML-Dateien. Ein Hacker kann also keine Befehle auf Ihrem System absetzen, und auch die DOC-Dateien von Winword sind tabu. Zum großen Ärger für die Anwender hilft es nichts, wenn der Empfänger die höchste Sicherheitsstufe in seinem Browser einstellt. Und auch die Sprachversion des Internet Explorer scheint egal zu sein. Zumindest trat im Test der Fehler sowohl in der deutschen als auch in der englischen Version des Internet Explorer auf. Besonders gefährlich ist die Tatsache, daß der Spionage-Code sich sowohl auf einer Web-Seite als auch in einer E-Mail unterbringen läßt.

Technisch gesehen baut ein Angriffsversuch auf den I-Frames und Microsofts J-Script auf. Wenn der Anwender auf eine derartig präparierte Seite zugreift, lädt ein kleines J-Script-Programm die entsprechende HTML- oder Textdatei in den Frame. Der Inhalt dieses speziellen Frames läßt sich nun mit Dynamic HTML auslesen und als Parameter einer URL an einen beliebigen Web-Server im Internet übertragen.

Da das Sicherheitsloch auf einem Fehler des Internet Explorer 4.0 beruht, kann nur Microsoft mit einem Patch etwas daran ändern. Als erste Schutzmaßnahme können sich erfahrene Benutzer absichern, indem sie mit dem Befehl Tools – Options – Security – Settings – Custom (for expert users) – Active Scripting – Disable die Ausführung von Active Scripting komplett abstellen. Microsoft hat allerdings auch erstaunlich schnell auf den Bug reagiert und stellt auf seinen Web-Seiten http:// www.microsoft.com/ie/security/?/ie/security/freiburg.htm einen entsprechenden Patch zur Verfügung. Die neuesten Nachrichten zu diesem Bug können Sie übrigens bei seinem Entdecker auf der Web-Seite http://www. jabadoo.com/press/ie4.html begutachten.