Neues Sicherheitsproblem mit Internet Explorer

Die Zeiten ändern sich.

Dieser Beitrag scheint älter als 11 Jahre zu sein – eine lange Zeit im Internet. Der Inhalt ist vielleicht veraltet.

Mit einem ganz einfachen Code kann man den Internet Explorer zum Absturz bringen:

<FRAMESET >
<FRAME SRC=AAAA >
<EMBED NAME=SP STYLE= >
<APPLET HSPACE=file://AAAA >

Betroffen ist jedenfalls der Internet Explorer 6 unter Windows XP SP2 mit allen verfügbaren Patches. Außerdem muss das Java Runtime Environment 2 (JRE2/JSE2) installiert sein. Da viele Mail-Programme auf die Render-Engine des IEs zurückgreifen, können auch diese betroffen sein, was u.U. zu Datenverlusten führen kann (eine entsprechend modifizierte Mail ganz oben im Posteingang, die beim Start des Programms sofort angezeigt wird könnte hier das Mail-Programm quasi unbrauchbar machen).

Nachvollziehen konnte ich das Problem folgendermaßen:
test.htm erstellt mit oben genanntem Inhalt.

Aufruf von der Festplatte aus: funktioniert nicht.
Aufruf vom lokal installierten Apache Server: funktioniert, sobald man eine weitere Webseite aufruft. Der IE lässt sich manuell nicht schließen.
Aufruf vom Webserver: sofortiger Absturz. Funktioniert nur, wenn die Datei im Root-Verzeichnis der Domain abgelegt ist. Im Unterverzeichnis ist dasselbe Ergebnis, wie auf dem lokalen Webserver.

Samples (Benutzung auf eigene Gefahr, daher auch nicht verlinkt!):
http://a-bissl-wenig.de/test.htm
http://a-bissl-wenig.de/test/test.htm

Nachtrag: Scheint übrigens nicht auf allen Systemen zu funktionieren, auch wenn die Voraussetzungen dazu gegeben wären.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.