Internet Explorer: ftp-Funktion ist unsicher

Wie nun entdeckt und bekannt gegeben wurde, herrscht in der ftp-Funktion des Internet Explorers in der Version 6.0 offenbar ein Sicherheitsleck, über das Angreifer Dateien in beliebigen Verzeichnissen des Computers speichern können. Auch ein Überschreiben existenter Dateien ist damit möglich.

Der Fehler liegt in der Überprüfung der jeweiligen Pfadinformationen seitens des Browsers. Um diese Lücke auszunutzen, ist ein entsprechend präparierter FTP-Server von Nöten. Ganz gleich, welchen Speicherort der Nutzer letztlich wählt, kann beispielsweise schädlicher Code beliebig auf dem Computer des Nutzers platziert werden.

Dieses Problem tritt allerdings erst dann auf, wenn der User eine Datei entweder per Drag&Drop auf den Computer kopiert oder per Rechtsklick aus dem Kontextmenü „Speichern unter...“ verwendet. Beim Doppelklicken auf eine auf dem FTP-Server befindliche Datei ist das Ganze nicht präsent.

Bestätigt wurde diese Sicherheitslücke bis dato für die sechste Version des Browsers unter Windows 2000 mit Service Pack 4 sowie unter Windows XP mit SP1. Windows-XP-Nutzer, die das Service Pack 2 installiert haben, sind nicht betroffen. Laut Albert Galicia, dem Entdecker der Lücke, wurde Microsoft bereits am 25. Dezember des letzten Jahres über den Bug informiert, wobei ein Patch nach wie vor aussteht.