Microsoft verspricht schnelle Beseitigung der Sicherheitslücke
Datendiebstahl mit Internet Explorer 4

Hannover, 17. Oktober 1997 - Während Sie im Web surfen oder Ihre Email lesen, stiehlt ein Angreifer aus dem Internet ungehindert ihre Daten. Diese Horrorvorstellung macht der neue Internet Explorer 4 von Microsoft zur Realität. Er ermöglicht es, Befehle in Web-Seiten und Email zu verstecken, durch die heimlich Dateien an Unbefugte übermittelt werden können.

Internet Consultant Ralf Hüskes, der das Microsoft-Produkt im Auftrag der c't-Redaktion testete, bewertet die Sicherheitslücke als ein ernstes Problem für Endanwender und Firmen: "Nicht einmal ein durch Firewall geschütztes Firmen-Netz ist vor diesem Angriff sicher." Das Sicherheitsloch beruhe nicht auf einem Programmfehler, sondern sei konzeptbedingt. Es besteht auch dann, wenn die Sicherheitsoptionen des Browsers auf die Standardwerte für "hoch" eingestellt sind.

Mindestens Text- und HTML-Dateien lassen sich auf diese Weise von außen ausspähen. Ob auch andere Dateitypen betroffen sind, ist noch ungeklärt. Einziges Hindernis für den Angreifer: Er muß die Dateien durch Pfadangaben beziehungsweise Adressen im Intranet genau spezifizieren. Da viele Programme beispielsweise unter Windows standardisierte Verzeichnisnamen verwenden, hat der Datendieb jedoch sehr gute Chancen, etwa Dateien eines Homebanking-Programms abzurufen.

Der Trick ist sehr einfach und basiert auf Microsofts Dynamic HTML. Der Angreifer versteckt in Webseite oder Mail einen sogenannten IFRAME mit einem Verweis auf das gesuchte Dokument. Während das arglose Opfer liest, lädt der Microsoft-Browser oder der Mail Client Outlook Express die betreffende Datei in das unsichtbare Fenster. Ein weiterer versteckter IFRAME schickt sie an den Server des Hackers.

Schützen kann man sich derzeit nur, indem man die Funktion "Active Scripting" für alle Internet-Zonen in den Grundeinstellungen des Internet Explorer außer Kraft setzt. (Zu finden im Menü "Ansicht", Menüpunkt "Internetoptionen", Reiter "Sicherheit", Schaltfläche "Einstellungen"). Dadurch gehen aber auch wichtige Programmfunktionen verloren; viele Web-Angebote lassen sich nicht mehr nutzen.

Microsoft reagierte eilends auf Mitteilung der Testergebnisse. Softwareentwickler aus der Konzernzentrale in Redmond informierten sich in einer nächtlichen Telefonkonferenz mit c't-Redakteuren über die technischen Details und wählten sich auf einem eigens zum Beweis der Sicherheitslücke eingerichteten deutschen Webserver ein. Ein Sprecher erkläre kurz darauf, ein Korrektur-Programm werde voraussichtlich noch am heutigen Freitag auf Microsofts Webserver (www.microsoft.com) bereitgestellt. Man halte den Fehler aber nicht für so schwerwiegend. Es sei nicht möglich, Dateien mit dieser Methode zu ändern oder zu zerstören.

Detaillierte Informationen über das "IFRAME-Sicherheitsloch" und die Schutzmaßnahmen bringt c't in der kommenden Ausgabe 12/97, die am 27. Oktober erscheint.