- Offizieller Beitrag
Sicherheitsloch im CSS-Interpreter vom Internet Explorer
Angreifer können beliebige lokale Dateien einsehen und den Inhalt lesen
Wie auf der Mailingliste Bugtraq zu lesen ist, enthält der Interpreter für CSS (Cascading Style Sheets ) im Internet Explorer ein Sicherheitsloch, das es Angreifern ermöglicht, beliebige Dateien auf dem lokalen Rechner einzusehen. Dies fand das Software-Unternehmen "GreyMagic Software" heraus. Bislang gibt es keinen Schutz gegen dieses Sicherheitsloch.
Das Sicherheitsleck im CSS-Interpreter soll alle Windows-Versionen des Internet Explorer ab der Version 5.0 betreffen. Angreifer können so den Inhalt beliebiger lokaler Dateien auf dem betreffenden System einsehen und lesen. Wer den Internet Explorer 5.0, 5.5 oder 6.0 von Microsoft verwendet, kann somit Opfer eines solchen Angriffs werden, ohne sich dagegen schützen zu können, weil sich die Anzeige von CSS-Dokumenten nicht deaktivieren lässt.
Derzeit bleibt als einzige Abhilfe gegen solche Angriffe, auf die Verwendung des Internet Explorer zu verzichten, sofern man die Version 5.0, 5.5 oder 6.0 verwendet. Als Alternative sollte man darauf achten, dass man mit dem Internet Explorer nur bekannte, vertrauenswürdige Webseiten besucht.
Mehr dazu:
http://online.securityfocus.com/cgi-bin/vulns-item.pl?section=discussion&id=4411