Browsern das Ausführen lokaler Dateien verbieten

ist CEO der R2R Research-to-Rise-AG in Rohrdorf.

Der Microsoft Internet Explorer lässt es unter Umständen zu, dass eine Website auf dem PC des Besuchers Dateien öffnet und liest. Verantwortlich ist ein Fehler in der Implementierung der GetObjects-Scripting-Funktion, der es erlaubt, deren Sicherheitsprüfungen zu umgehen und auf diese Weise die nötigen Rechte für solch eine Operation zu erlangen.

Microsoft hat das Problem im "Technet" im Dokument www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-005.asp beschrieben und für die aktuellen Browsertypen den "Sammelpatch 2" zur Verfügung gestellt, der dieses und andere Probleme beheben soll.

Diese Hoffnung allerdings trügt: "Entgegen der Ankündigung des Herstellers ist das Ausführen lokaler Dateien mit dem Sammelpatch keinesfalls erledigt", erklärt Richard Mayr, CEO des Systemhauses R2R.

Tipp Nr. 3/2002: "Bis ein Patch von Microsoft herausgegeben wird, der das GetObjects-Problem wirklich löst, sollte in den Browsern das Active Scripting deaktiviert werden", meint Mayr. "Dies ist sehr einfach: Klicken Sie auf Extras/Internetoptionen/Sicherheit/Anpassen. Der Browser blendet ein Dialogfeld ein. Schalten Sie dort in der Sektion Scripting die Option Deaktivieren (Active Scripting) ein. Man sollte sich allerdings der Tatsache bewusst sein, dass dann nicht mehr alle Webseiten einwandfrei angezeigt werden können."

Wenn Sie Version und Konfiguration Ihres Browsers generell überprüfen wollen, können Sie den frei verfügbaren Testdienst von Dicentral im Web nutzen. Er hat die URL www.dicentral.com/html/7support/browsercheck.html. (jo)

www.networkworld.de/secucheck