FITUG e.V.

Förderverein Informationstechnik und Gesellschaft

Bug in MS Explorer 3.01 entdeckt

Anfang März wurde in den USA eine Sicherheitslücke in Microsofts Internet Explorer 3.01 bekannt: Speziell programmierte Links führen beim Anklicken im Internet Befehle auf der heimischen Festplatte aus. ActiveX wird dabei nach Angaben des Bug-Entdeckers Paul Greene nicht benutzt. Zur Demonstration kann man auf der WWW-Site www.cybersnot.com Links anklicken, die dann auf dem eigenen PC den Taschenrechner starten, ein Verzeichnis erstellen, dieses öffnen und schliesslich wieder entfernen.

Die Programme gehen davon aus, dass sich Windows 95 im Verzeichnis C:\WINDOWS befindet. Windows 95 führt die Befehle ohne Zwischenabfrage aus - vorausgesetzt, der Surfer ist mit dem Internet Explorer 3.01 unterwegs, unabhängig von der eingestellten Sicherheitsstufe.

In den nächsten Tagen wollen Greene und zwei Programmierer zeigen, dass ferngesteuerte Befehle auch unter Windows NT 4.0 möglich sind. Bei Microsoft hat die Nachricht von dem Bug-Meldung fieberhafte Aktivität ausgelöst: Binnen 48 Stunden, so Microsoft am Montag, werde ein "Bugfix" bereitgestellt, das dann im Internet unter http://www.microsoft.com/ie/default.asp erhältlich sei. Thomas Baumgärtner von Microsoft in München ist zuversichtlich:

"Bis Dienstag oder Mittwoch wird es eine einfache Lösung geben, vermutlich in patch für die Registry." Allzu gefährlich will er die Sache nicht erscheinen lassen: "Das ist ja bisher eine reine 'Demo'-Geschichte. Irgendwelche Schäden sind Microsoft bisher nicht berichtet worden." Auf der Microsoft-Homepage hält das Unternehmen Interessierte Nutzer auf dem laufenden: www.microsoft.com/ie/security/update.htm.

(PC Magazin DOS / mk)

Förderverein Informationstechnik und Gesellschaft, JPL, 06.06.97
webmaster@www.fitug.de