Ausführbare Dateien über den Internet Explorer sind ein Feature

BetriebssystemEnterpriseProjekteService-ProviderSicherheitWorkspace

Windows XP und der Internet Explorer erlauben, dass eine ausführbare Datei über die Adresszeile des Browsers gestartet wird.

Mit einer kleinen Manipulation, kann so ein Nutzer, wenn er eine ganz normale Webadresse in die Adresszeile des Browsers eingibt, auf eine Datei geleitet werden, die dann statt der angeforderten Seite ein beliebiges Programm startet.

Der ‘Trick’ ist einfach. Eine Verknüpfung auf dem Desktop muss mit einer Datei gekoppelt werden, die ein Programm startet. Schließlich muss die Verknüpfung zum Beispiel in www.silicon.de umbenannt werden. Gibt der User nun die Silicon-Adresse ein, ruft er die .exe-Datei auf. Löscht man die Verknüpfung, oder gibt bei der Adress zunächst ‘http://’ ein, so wird wieder die Verbindung zur angeforderten Webseite hergestellt.

Ein Microsoft-Sprecher erklärt, dass es sich nicht um einen Fehler handelt, sondern eine Funktion, von der legale Anwendungen Gebrauch machen können. Diese Funktion sei dann nötig, wenn beispielsweise ein Unternehmen eine Anwendung mit dem Internet Explorer verknüpfen möchte. Für Microsoft stellt diese Funktion eine “konsistente und bruchlose Nutzererfahrung” sicher.

Sicherheitsexperten sehen jedoch in diesem Feature eine Möglichkeit für Hacker, bösartige Programme zu starten. Zudem könnte diese Funktion auch anderweitig ausgenutzt werden. Wegen der geringen technischen Barriere könnten Hacker vor allem mit der Technik des ‘Social Engeneering’ dieses Feature für sich missbrauchen. Der Firefox verfüge hingegen nicht über dieses Feature.