Tips: E-Mails als Sicherheitslⁿcke (WIN 01/98)

E-Mails als Sicherheitslⁿcke

Der Informatik-Lehrer unseres Gymnasiums hat den neuen Internet Explorer 4 von Microsoft als ätotal unsicherô bezeichnet. Er sagte, man mⁿsse nur eine E-Mail mit einem entsprechenden Java-Script senden, das sich automatisch aktivieren und die Verbindung aufbauen wⁿrde. Dann k÷nne es beispielsweise den Inhalt der Festplatte anzeigen. Hat der Internet Explorer wirklich eine solch eklatante Sicherheitslⁿcke?

TatsΣchlich ist eine gro▀e Sicherheitslⁿcke im Internet Explorer 4 aufgetreten. Der freie Journalist und WIN-Autor Ralf Hⁿskes fand sie Mitte Oktober heraus. Sein Test ergab, da▀ ein gewiefter Hacker sowohl lokale als auch Server-Daten einsehen kann. Dabei ist es egal, ob die Daten im Intranet durch einen Firewall geschⁿtzt sind oder nicht.
Allerdings bezieht sich die SpionagetΣtigkeit nur auf beliebige Text- und HTML-Dateien. Ein Hacker kann also keine Befehle auf Ihrem System absetzen, und auch die DOC-Dateien von Winword sind tabu. Zum gro▀en ─rger fⁿr die Anwender hilft es nichts, wenn der EmpfΣnger die h÷chste Sicherheitsstufe in seinem Browser einstellt. Und auch die Sprachversion des Internet Explorer scheint egal zu sein. Zumindest trat im Test der Fehler sowohl in der deutschen als auch in der englischen Version des Internet Explorer auf. Besonders gefΣhrlich ist die Tatsache, da▀ der Spionage-Code sich sowohl auf einer Web-Seite als auch in einer E-Mail unterbringen lΣ▀t.
Technisch gesehen baut ein Angriffsversuch auf den I-Frames und Microsofts J-Script auf. Wenn der Anwender auf eine derartig prΣparierte Seite zugreift, lΣdt ein kleines J-Script-Programm die entsprechende HTML- oder Textdatei in den Frame. Der Inhalt dieses speziellen Frames lΣ▀t sich nun mit Dynamic HTML auslesen und als Parameter einer URL an einen beliebigen Web-Server im Internet ⁿbertragen.
Da das Sicherheitsloch auf einem Fehler des Internet Explorer 4.0 beruht, kann nur Microsoft mit einem Patch etwas daran Σndern. Als erste Schutzma▀nahme k÷nnen sich erfahrene Benutzer absichern, indem sie mit dem Befehl Tools û Options û Security û Settings û Custom (for expert users) û Active Scripting û Disable die Ausfⁿhrung von Active Scripting komplett abstellen. Microsoft hat allerdings auch erstaunlich schnell auf den Bug reagiert und stellt auf seinen Web-Seiten http:// www.microsoft.com/ie/security/?/ie/security/freiburg.htm einen entsprechenden Patch zur Verfⁿgung. Die neuesten Nachrichten zu diesem Bug k÷nnen Sie ⁿbrigens bei seinem Entdecker auf der Web-Seite http://www. jabadoo.com/press/ie4.html begutachten.