OT: XP-SP 2 Browserproblem

spongebob

Aktives Mitglied
Mitglied seit
22 Sep 2004
Beiträge
1,287
Punkte für Reaktionen
0
Punkte
0
Hallo Admins,

obwohl dieses Thema nicht zur Gruppe passt, bitte Topic nicht wieder verschieben. Brauche das Fachwissen der Experten. Oder - wenn Ihr verschiebt, bitte Phantomthread stehen lassen! Die Experten sind hier und nicht bei Freenet :)

Danke.

Zum Thema:

Ich bin heute zufällig in eine fast unglaubliche Backdoor im IE 6 unter MS XP SP 2 gestolpert. Ich konnte mich leider nicht gegen SP 2 wehren; war schon vorinstalliert auf meiner neuen Kiste. Mittlerweile finde ich das OS komplett paranoid, doch das ist meine persönliche Meinung.

Ich konnte das Problem auf Folgendes herunterbrechen:

Eine HTML Datei, die JavaScript-Code enthält, wird bei lokaler Ausführung grundsätzlich angemeckert ("Die Anzeige aktiver Inhalte, die auf den Computer zugreifen können, wurde für diese Datei aus Sicherheitsgründen eingeschränkt"). Man kann die Mecker umgehen, indem man temporär die geblockten Inhalte zulässt bzw. in den globalen Sicherheitseinstellungen rumpfuscht.

Zum "Empfang" o.g. Fehlermeldung reicht es, folgende kleine HTML Datei per Doppelklick zu starten:

<html>
<body onload=hallo();></body>
</html>

Wie man sieht, ist der body leer (darauf kommts nicht an) und die Script funktion existiert auch nicht (darauf kommts auch nicht an, Hauptsache Scriptcode ist vorhanden). Beim Ausführen dieser HARMLOSESTEN DATEI DER WELT kommt es zu der o.a. Warnung.

Zufälligerweise habe ich noch eine andere Version dieser Datei gehabt. Ursprünglich wurde die mit Frontpage 2003 erzeugt und dann als Anlage vermailt. Diese ältere Version tat es ohne Klagen.

Der einzige Unterschied zwischen ersterer und letzterer Datei besteht nun in einer (an irgendeiner Stelle der Datei) eingefügten KOMMENTARZEILE folgenden Inhalts:



Wenn der Browser diese findet, meckert er nicht --- respektive führt den Code aus (!!??). Der String muss auf einer Zeile stehen und darf - zumindest bis "e-mail" - nicht verändert werden. Zweite Bedingung für das Nichtauftreten der Script-Fehlermeldung ist, dass bei Aufruf alle anderen Browserfenster geschlossen sind.

Ich bitte Besitzer von XP SP 2 um Verifikation. Hier konnte ich es auf verschiedenen Systemen nachstellen.

EDIT: Der Code _wird_ ausgeführt:


<html>
<body onload=alert("Hallo");></body>
</html>

Damit ist das für mich ein Sicherheitsloch.

Grüsse
 
Hi spongebob,

ich habe es gerade ausprobiert. Bei mir ist es ganz genau so wie bei Dir. Hier läuft XP Pro Version 2002 SP2 (nachinstalliert, das XP-Grundsystem war nur SP1).

Mit dem Kommentar in der HTML-Datei gibts bei lokaler Ausführung keine Warnung, ohne schon. Bei Ausführung vom WWW-Server gibts in beiden Fällen keine Warnung.
 
Bei Ausführung vom WWW-Server gibts in beiden Fällen keine Warnung.

Das ist wohl gewollt, da sonst ja kaum noch eine Website ohne Warnung sichtbar werden würde. Generell kann man sich aber wohl auch vor externem Javascritp schützen.

Danke für die Nachtests.

Ich bin mir noch nicht über die Relevanz des Ganzen im Klaren. Mit Sicherheiit dürfte diese Info für Leute interessant sein, die viel mit HTA, JS, VBS und Windows Scripting machen.

Grüsse

Edit: 20:09 Uhr:

Oh je... Beim Googeln nach "saved from url" kommt ja so Einiges an Merkwürdigem zu Tage...

Grüsse

Bitte von Christoph: Und noch mal die Bitte, die "Edit"-Funktion zu nutzen...
 
@ spongebob:

Habe den Thread nun verschoben und es blieb ein "Phantom" an alter Stelle. Das werde ich aber nicht noch mal machen.

Bitte halte Dich an die vorgegebenen Rubriken. Wenn Du einen aussagekräftigen Titel wählst, wird man Dir auch bzw. erst recht in der richtigen Rubrik helfen.

Und bei der Gelegenheit auch noch mal die dringende Bitte, Gebrauch von der "Edit"-Funktion zu machen - Du bist doch nicht seit gestern hier...
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.