Internet Explorer 6 hat Daten-Leck
Im Internet Explorer steckt eine Sicherheitslücke im Umgang mit VB-Scripts, die dem Frame-Domain-Verification-Problem ähnelt.
Ein Angreifer kann damit über eine präparierte Webseite oder eine HTML-Mail lokale Daten auslesen. Ein Patch steht bereit.
Cross-Domain-Security-Modell ohne Security
Im Sinne des Erfinders sollte das Sicherheitsmodell des Internet
Explorers verhindern, dass per VB-Script in den Frames einer
Webseite Inhalte von unterschiedlichen Domains angezeigt werden. Das
Cross-Domain-Security-Modell des IE funktioniert im Zusammenspiel
mit VB-Scripts anscheinend aber nicht.
Microsoft Security Bulletin und PatchPräparierte E-Mails und Web-Sites
Ein Angreifer kann laut Microsoft eine Webseite oder auch eine HTML-Mail mit einem Script präparieren und sich so den Inhalt von anderen Browser-Fenstern, die der Benutzer geöffnet hat, anzeigen lassen.
Damit landen möglicherweise Kreditkartendaten und Passwörter in falschen Händen, die der Benutzer im Browser eingibt.
Letztlich lassen sich alle Dateien des lokalen Systems anzeigen, die der Internet Explorer darstellen kann.
IE 5.01 bis 6 anfällig
Der Internet Explorer ab Version 5.01 [SP2] bis hin zum neuesten
Modell 6 bringt die Lücke mit.
Patches-Paket für den Internet Explorer