Der amerikanische Sicherheitsexperte http-equiv meldete vor kurzem eine hochbrisante Sicherheitslücke im vollgeptachten Internet Explorer 6 mit installiertem Service Pack 2 für Windows XP.
Durch unzureichende Validierung von Drag&Drop-Events ist es möglich, Objekten, die sich in der Berechtigungszone "Internet" befinden, Zugriff auf lokale Ressourcen zu verschaffen. Im Klartext bedeutet dies, daß ein Angreifer beispielsweise die Möglichkeit hat, ein Programm im Autostart-Ordner zu platzieren und so den betroffenen Rechner auf beliebige Weise zu kompromittieren - Viren, Trojaner, Keylogger etc. können überall auf dem System platziert werden, ohne daß der Anwender Wanhinweise erhält.
Damit ein derartiger Angriff auch mit installiertem Service Pack 2 gelingt, ist zwar Interaktion des Anwenders notwendig. Geschickte Überzeugungsmethoden der Angreifer sollten aber ein übriges tun, um die Attacken bei unbedarfteren Benutzern zu ermöglichen.
Bislang ist für diese Sicherheitslücke noch kein Patch von Microsoft erschienen. Als Workaround empfiehlt es sich lediglich, kategorisch enen anderen Browser als den Internet Explorer zu verwenden - Alternatien wie Mozilla/Firefox oder Opera weisen diese schwere Sicherheitslücke nicht auf.
Klicken Sie hier, um mehr über dieses Thema zu erfahren. Unter nachfolgendem Link findet sich das Original-Advisory von http-equiv.
Zitat
http://www.desktopsecurity.de/modules.php?name=News&file=article&sid=221&mode=&order=0&thold=0