Internet Explorer führt unbemerkt FTP-Kommandos aus

BrowserSicherheitSicherheitsmanagementWorkspace

Microsofts Browser schlampt beim Aufruft von FTP-Adressen, denn diesen lassen sich Befehle mitgeben, etwa um unbemerkt Daten auf den Server hochzuladen. Betroffen sind IE 5 und 6.

Auf der Mailingliste Full Disclosure wird von einem Leck in den IE-Versionen 5 und 6 berichtet. Sie überprüfen FTP-Adressen nicht ausreichend, so dass sich – vom Anwender unbemerkt – zahlreiche Befehle ausführen lassen. Dabei ist es in einigen Fällen sogar möglich, dass der Angreifer eine alte Session wieder startet, um Zugang zu einem FTP-Server zu erhalten, der eine Authentifizierung verlangt. Dort kann er dann beispielsweise vertrauliche Daten herunterladen und löschen oder Malware hochladen. Im Internet Explorer 7 funktioniert der Exploit nicht. (dd)

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen