Sicherheit
Bilderfalle für IE-Nutzer
von
com!
professional - 16.02.2009
Über eine zur Angriffswaffe umfunktionierte Schutzfunktion des Internet Explorers berichtet Heise Security: Auf Webseiten hochgeladene Bilder können schädlichen Javascript-Code enthalten, den der IE ausführt.
Was eigentlich als Schutzfunktion gedacht war, kann sich gegen den Benutzer des Internet Explorers verkehren. Der Browser verlässt sich beim Öffnen einer nicht blind auf Angaben vom Server, wie Dateinamen oder MIME-Typen. Gibt es widersprüchliche Angaben, liest er den Dateianfang und entscheidet an Hand des Inhalts, wie sie zu behandeln ist.
Dieses sogenannte MIME-Sniffing könne dann dazu führen, so Heise Security, dass in einer Bilddatei HTML-Code entdeckt werde, den der IE dann rendert und eventuell eingebettetes Javascript ausführt. Dieser Script-Code laufe dann im Kontext der Website und könne beispielsweise die Zugangsdaten des Anwenders ausspionieren.
Gefährdet seien in erster Linie Besucher von Web-Seiten, bei denen Benutzer selbst Bilder hochladen können.
