Demo: IE 5: Zwischenablage kann mit Script ausgelesen werden
Nach den Sicherheitsmaßnahmen in IE 4 dürfen Scripte
nicht auf den Inhalt der Zwischenablage zugreifen, wenn
nicht deren Inhalt dem Internet Explorer gehört. Mit
der Einführung von IE 5 wurde aus dieser Regel eine
Option. Die Voreinstellung von IE 5 ermöglicht das
Auslesen der Zwischenablage, auch wenn sie
beispielsweise Text aus einem vertraulichen Dokument
enthält.
Um dies zu demonstrieren, kopieren Sie bitte aus
einer Anwendung (z.B. Notepad, WordPad) ein wenig Text
in die Zwischenablage ( [Strg]+c ) und klicken Sie auf
diese Schaltfläche:
In dieser Textbox erscheint nun der Inhalt Ihrer
Zwischenablage (nur bei IE und wenn JavaScript aktiv ist):
Unten sehen Sie die Datei config.sys
Die Demonstration erzeugt die Datei EA.HTA auf Ihrem Desktop. Klicken Sie auf diese Datei, erscheint eine Meldung. Es wäre genausogut möglich, eine Datei im Autostart-Ordner anzulegen und beim nächsten Systemstart beispielsweise die Festplatte zu formatieren.
Abhilfe:
Microsoft empfiehlt ein Update der Virtual Machine. Um auch zukünftigen Vorfällen dieser Art vorzubeugen, sollten Sie Active Scripting, Java und/oder das Scripting von Java-Applets deaktivieren.
Beim Versuch Dateien zu öffnen, die bestimmten Gerätenamen unter DOS entsprechen, stürzt Windows 95, 98 und 98 SE ab. Man kann solche Links z.B. über das <IMG>-Tag so in eine Seite einbinden, dass sie direkt geladen werden. Falls Sie es ausprobieren wollen, vergessen Sie nicht, vorher alle anderen Anwendungen zu schließen.
file:///C|/con/con
für einige Linux-Distibutionen gilt: file:///dev/mouse
für einige Linux-Distibutionen gilt: file:///dev/tty1