Leck in Internet Explorer: HTML-Seiten missbrauchen Druckfunktion

BrowserSicherheitSicherheitsmanagementWorkspace

Schon wieder entdeckten Sicherheitsprofis eine Lücke im Internet
Explorer: Entsprechend vorbereitete Webseiten können ohne Bestätigung
des Nutzers Seiten ausdrucken.

Security-Spezialist Ben Garvey entdeckte in der Druckfunktion von
Internet Explorer 6 einen Programmfehler und veröffentlichte diesen am
Wochenende in der Mailingliste Bugtraq. Mit Hilfe des fehlerhaften Codes
im IE können Webseiten Ausdrucke starten, ohne den User vorher zu fragen.

Ein JavaScript-Code in der HTML-Seite genügt bereits, um dem Opfer einen
kleinen Streich zu spielen. Der Exploit, wie so ein Programm zur
Fehlerausnutzung genannt wird, druckt einfach die Webseite auf dem
nächsten angeschlossenen Drucker aus. Gerade Besitzern von
Tintenstrahldruckern kann so durch die passenden Script in Webseiten
oder HTML-Mails ein hoher Kostenaufwand entstehen.

Weil das Ganze
auch auf Netzwerkdruckern funktioniert, wird dies so mancher Büro-Nutzer
nicht sofort erkennen.

Bislang ist noch kein Patch von Microsoft
verfügbar. Um entsprechende Kosten durch Viren, Webseiten und andere
Exploits des Fehlers auszuschließen, empfiehlt sich, JavaScript im
Internet Explorer zu deaktivieren oder gleich einen anderen Browser zu
verwenden. (mk)

Weitere Infos:

SecurityFocus Bugtraq-Liste

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen