Datendiebstahl mit Internet Explorer 4
Microsoft verspricht schnelle Beseitigung der Sicherheitslücke
Hannover, 17. Oktober 1997 - Während Sie im Web surfen oder Ihre Email
lesen, stiehlt ein Angreifer aus dem Internet ungehindert ihre Daten. Diese
Horrorvorstellung macht der neue Internet Explorer 4 von Microsoft zur
Realität. Er ermöglicht es, Befehle in Web-Seiten und Email zu verstecken,
durch die heimlich Dateien an Unbefugte übermittelt werden können.
Internet Consultant Ralf Hüskes, der das Microsoft-Produkt im Auftrag der
c't-Redaktion testete, bewertet die Sicherheitslücke als ein ernstes
Problem für Endanwender und Firmen: "Nicht einmal ein durch Firewall
geschütztes
Firmen-Netz ist vor diesem Angriff sicher." Das Sicherheitsloch beruhe
nicht auf einem Programmfehler, sondern sei konzeptbedingt. Es besteht auch
dann, wenn die Sicherheitsoptionen des Browsers auf die Standardwerte für
"hoch"
eingestellt sind.
Mindestens Text- und HTML-Dateien lassen sich auf diese Weise von außen
ausspähen. Ob auch andere Dateitypen betroffen sind, ist noch ungeklärt.
Einziges Hindernis für den Angreifer: Er muß die Dateien durch Pfadangaben
beziehungsweise Adressen im Intranet genau spezifizieren. Da viele
Programme beispielsweise unter Windows standardisierte Verzeichnisnamen
verwenden, hat der Datendieb jedoch sehr gute Chancen, etwa Dateien eines
Homebanking-Programms abzurufen.
Der Trick ist sehr einfach und basiert auf Microsofts Dynamic HTML. Der Angreifer versteckt in Webseite oder Mail einen sogenannten IFRAME mit einem Verweis auf das gesuchte Dokument. Während das arglose Opfer liest, lädt der Microsoft-Browser oder der Mail Client Outlook Express die betreffende
Datei in das unsichtbare Fenster. Ein weiterer versteckter IFRAME schickt
sie an den Server des Hackers.
Schützen kann man sich derzeit nur, indem man die Funktion "Active
Scripting" für alle Internet-Zonen in den Grundeinstellungen des Internet
Explorer außer Kraft setzt. (Zu finden im Menü "Ansicht", Menüpunkt
"Internetoptionen",
Reiter "Sicherheit", Schaltfläche "Einstellungen"). Dadurch gehen aber auch
wichtige Programmfunktionen verloren; viele Web-Angebote lassen sich nicht
mehr nutzen.
Microsoft reagierte eilends auf Mitteilung der Testergebnisse.
Softwareentwickler aus der Konzernzentrale in Redmond informierten sich in
einer nächtlichen Telefonkonferenz mit c't-Redakteuren über die technischen
Details und wählten sich auf einem eigens zum Beweis der Sicherheitslücke
eingerichteten deutschen Webserver ein. Ein Sprecher erkläre kurz darauf,
ein Korrektur-Programm werde voraussichtlich noch am heutigen Freitag auf
Microsofts Webserver (www.microsoft.com) bereitgestellt. Man halte den
Fehler aber nicht für so schwerwiegend. Es sei nicht möglich, Dateien mit
dieser Methode zu ändern oder zu zerstören.
Detaillierte Informationen über das "IFRAME-Sicherheitsloch" und die
Schutzmaßnahmen bringt c't in der kommenden Ausgabe 12/97, die am 27.
Oktober erscheint.
Ihr Ansprechpartner für Rückfragen
Christian Persson (c't-Redaktion)
Telefon: 05 11/53 52-300
Fax: 05 11/53 52-417
E-Mail: cp@ct.heise.de
