A
Anonymous
Nachdem die Sache mit dem Nachrichtendienst ja schon ein alter Hut gibt es jetzt die neuesten Möglichkeiten der Spamverbreitung. Die Demo funktioniert leider wirklich, sogar mit allen aktuellen Patches des IE 6 SP 1 und restriktiven Einstellungen für die Internetzone (laut Empfehlungen von www.heise.de/ct/browsercheck)Mit dem alten Netscape 4.78 ohne JAVA oder Javascript passierte übrigens von alleine nichts.
http://news.zdnet.de/story/0,,t101-s2138469,00.html
News Security
Popup-Fenster in Internet Explorer ohne
Scripting
Von Jason Curtis
ZDNet
07. August 2003, 10:51 Uhr
Ihre Meinung zum Thema
"Notepad-Popups": Sicherheitsrisiko oder
nur lästige Werbung?
Ein von ComputerBytesMan gemeldeter
Design-Fehler in Microsofts Internet
Explorer und Outlook ermöglicht das Öffnen
von so genannten "Notepad-Popups":
Unabhängig von den im Browser oder
Mail-Client eingestellten Sicherheitsoptionen
können eingebettete
"view-source"-Anweisungen in Webseiten
oder HTML-E-Mails automatisch neue
Programmfenster öffnen. Enthält der
HTML-Code einer Webseite oder eines
E-Mails die IE-spezifische Erweiterung, wird
das zum Betrachten von Quelltext assoziierte
Programm - standardmäßig Notepad (Editor)
- ohne Zutun des Anwenders gestartet.
Spammer könnten das "Feature" zum
Anzeigen von Werbetexten ausnutzen, denn
die Mehrzahl der gängigen Popup-Blocker
verhindert dieses Verhalten nicht. Die
"view-source"-Anweisung müsste lediglich
mit einer URL mit entsprechenden
Werbeinhalten verknüpft werden.
Theoretisch könnte diese Methode aber auch
dazu missbraucht werden, um
Stabilitätsprobleme auf einem
Windows-System zu verursachen. Enthält
eine HTML-Seite eine Vielzahl von
"view-source"-Befehlen, werden ebenso viele
Instanzen des Quelltext-Editors ohne
Rückfrage gestartet - mit den entsprechenden
Konsequenzen für die Speicherauslastung auf
dem betroffenen System.
Auf den Seiten von ComputerBytesMan wird
das Problem ausführlich beschrieben.
IE-Anwender werden mit einem
Beispiel-Popup begrüßt.
http://computerbytesman.com/security/notepadpopups.htm
http://news.zdnet.de/story/0,,t101-s2138469,00.html
News Security
Popup-Fenster in Internet Explorer ohne
Scripting
Von Jason Curtis
ZDNet
07. August 2003, 10:51 Uhr
Ihre Meinung zum Thema
"Notepad-Popups": Sicherheitsrisiko oder
nur lästige Werbung?
Ein von ComputerBytesMan gemeldeter
Design-Fehler in Microsofts Internet
Explorer und Outlook ermöglicht das Öffnen
von so genannten "Notepad-Popups":
Unabhängig von den im Browser oder
Mail-Client eingestellten Sicherheitsoptionen
können eingebettete
"view-source"-Anweisungen in Webseiten
oder HTML-E-Mails automatisch neue
Programmfenster öffnen. Enthält der
HTML-Code einer Webseite oder eines
E-Mails die IE-spezifische Erweiterung, wird
das zum Betrachten von Quelltext assoziierte
Programm - standardmäßig Notepad (Editor)
- ohne Zutun des Anwenders gestartet.
Spammer könnten das "Feature" zum
Anzeigen von Werbetexten ausnutzen, denn
die Mehrzahl der gängigen Popup-Blocker
verhindert dieses Verhalten nicht. Die
"view-source"-Anweisung müsste lediglich
mit einer URL mit entsprechenden
Werbeinhalten verknüpft werden.
Theoretisch könnte diese Methode aber auch
dazu missbraucht werden, um
Stabilitätsprobleme auf einem
Windows-System zu verursachen. Enthält
eine HTML-Seite eine Vielzahl von
"view-source"-Befehlen, werden ebenso viele
Instanzen des Quelltext-Editors ohne
Rückfrage gestartet - mit den entsprechenden
Konsequenzen für die Speicherauslastung auf
dem betroffenen System.
Auf den Seiten von ComputerBytesMan wird
das Problem ausführlich beschrieben.
IE-Anwender werden mit einem
Beispiel-Popup begrüßt.
http://computerbytesman.com/security/notepadpopups.htm