Es handelt sich hierbei um eine Sicherheitslücke, wer einmal auf eine preparierte Seite gelenkt wurde kann absofort komplett ausspioniert werden, sowohl die entsprechenden URLs können gesammelt werden, als auch die dort eingegebenen Zugangsinformationen oder andere private Daten wie z.B. TANs oder PINs. Betroffen sind scheinbar der Internet Explorer 6 sowie 7 und 8 Beta.

Bekanntlich lässt sich der Internet Explorer unter Windows nicht ohne erhebliche Beeinträchtigung des Systems entfernen, so dass prinzipiell jede Windowsinstallation betroffen ist .. der IE schlummert schliesslich immer auf der Platte und viele Microsoftprodukte machen sich meiner Erfahrung nach nicht einmal die Mühe, den Standardbrowser aufzurufen (in meinem Fall Firefox 3) sondern rufen direkt den IE auf. Auch wenn man das garnicht möchte.

Ob die alternative Browser auch betroffen sind, steht noch nicht fest. Für Firefox allerdings gibt es die Erweiterung "NoScript", welche die auf Javascript basierten Angriff blocken dürfte.

Details zu der Lücke findet man im oben verlinkten Artikel auf heise.de

Fazit: Mal wieder ein genialer Streich aus Redmond. Vielleicht wachen jetzt endlich mal die Leute auf und beschäftigen sich mit den alternativen zum Monopolisten.

Was lesen meine müden Augen da heute früh? Der Internet Explorer sucht beim Start nach benötigten Bibliotheken (DLLs) auf dem Desktop und das auch noch zuerst! Mitlerweile wurde die News auf heise.de insoweit korrigiert, dass der IE nur dann auf dem Desktop sucht, wenn man ihn mit der dortigen Verknüpfung startet. Dumm nur, dass diese Verknüpfung schon bei der Installation von Windows angelegt ist.

Es ist also anzunehmen, dass die meisten IE Nutzer diese Verknüpfung nutzen .. und tappen somit in eine gefährliche Falle. Gelingt es einem Angreifer, eine entsprechend präparierte DLL auf dem Desktop abzulegen (z.B. mit Safari), schon ist der Rechner kompromittiert.

Das ist wieder mal ein Geniestreich a la Microsoft. Eine essenzielle Komponente des Betriebssystems bedient sich aus einem als absolut nicht vertrauenswürdig einzustufendem Verzeichnis, dem Desktop. Betroffen ist derzeit übrigens auch der achso so tolle neue Internet Explorer 8 … ein Schelm wer hier an Copy&Paste Quellcode denkt. Bleibt nur zu hoffen, dass Microsoft hier endlich mal aus dem Tee kommt und hier schnell ein Update bringt, ausserhalb des Patch Days jeden Monat.

Am Rande sei noch angemerkt, dass quelloffener Programmcode diese Lücke wohl erst garnicht hätte entstehen lassen. Eine solche Lücke würde mindestens jedem 2ten ins Auge springen, der mit dem Quellcode zu tun hat. Bei Microsoft sind solche Fehler ja egal, den Quellcode sieht ja niemand, der Anwender bekommt nur die schönen Nebenwirkungen von propritärer Software zu spüren. Und das schöne ist: Selbst wenn man durch das Problem betroffen ist, so ändern wohl die wenigsten ihr Verhalten .. schliesslich hat Windows ja schon alles in Klickreichweite dabei und es ist ja von Microsoft!