Angreifer können über manipulierte Webseiten beliebige Programme auf Rechnern von Nutzern des Internet Explorers aufrufen, hat Aviv Raff entdeckt. Die Schwachstelle beruht auf einer sogenannten Cross-Zone-Lücke, durch die Webseiten Code anstatt in der Internet-Zone in der lokalen Zone ausführen können – Anwender müssen dazu jedoch mithelfen. Raff hat eine Beispielseite erstellt, die die Lücke demonstriert. Die Webseite ruft den Windows-Rechner auf, wenn der Anwender sie ausdruckt und dabei die Option "Liste der Links ausdrucken" anwählt. Dabei ist es unerheblich, ob man die Ausführung aktiver Inhalte zulässt, vor der der IE warnt. heise Security konnte das Verhalten mit einem Windows XP SP2 auf aktuellem Patch-Stand und einem Internet Explorer 7 nachvollziehen ...
- Neuer Benutzer / Newsletter
-
Login or connect via
