Aus dem Newsletter des Buerger-CERT von heute:
Zitat Anfang
4. STOERENFRIEDE: Internet Explorer erkennt Schadsoftware in Bildern
nicht
Hinters Licht gefuehrt
Wie die IT-News-Seite Heise [http://www.heise.de] berichtet, ist es
moeglich, dass der Internet Explorer in Bildern eingebettete
Schadsoftware ausfuehrt. Wird ein Bild mit dem Explorer geoeffnet,
prueft dieser als Schutzfunktion nicht nur den Dateinamen, sondern
schaut bei widerspruechlichen Angaben in die Datei hinein. Anhand des
Inhalts entscheidet er dann, wie mit der Datei verfahren wird. Fuegen
Angreifer nun harmlosen HTML-Code mit eingebettetem schaedlichen
JavaScript in eine Bilddatei ein, wird die Datei nicht geblockt, sondern
ausgefuehrt. So ist es Angreifern beispielweise moeglich, ueber
manipulierte Bilder auf Webseiten Zugangsdaten von Nutzern
auszuspionieren. Besonders gefaehrdet sind Anwender bei der Nutzung von
Webseiten, auf denen eigene Bilder hochgeladen werden koennen. Die
Betreiber dieser Webseiten sollten daher hochgeladene Bilder
ueberpruefen, bevor sie online gestellt werden.
Der Newsletter ist ein kostenloses Service-Angebot des Buerger-CERT.
Er erscheint im Abstand von 14 Tagen. Die Informationen werden vom
Bundesamt fuer Sicherheit in der Informationstechnik,
http://www.bsi.bund.de, mit groesster Sorgfalt recherchiert und
aufbereitet. Dennoch kann eine Gewaehr oder Haftung fuer die
Vollstaendigkeit und Richtigkeit nicht uebernommen werden.
Zitat Ende
LG
toggle