Internet Explorer führt Code in Bildern aus

Eine ursprünglich als Sicherheitsmaßnahme eingeführte Schutzfunktion kann dazu führen, dass der Internet Explorer ein Bild als HTML behandelt und eingebetteten Script-Code ausführt.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 212 Beiträge
Von
  • Jürgen Schmidt

Wenn man ein Bild im Internet Explorer öffnet, kann es gut sein, dass dieser zu der Auffassung gelangt, dass es sich dabei eigentlich um HTML-Code handelt und sogar eingebettete Scripte ausführt. Gefährdet sind vor allem die Besucher von Web-Seiten, bei denen Benutzer selbst Bilder hochladen können.

Das Ganze war eigentlich als Schutzfunktion gedacht: Beim Öffnen einer Datei verlässt sich der Internet Explorer nicht blind auf möglicherweise falsche Anzeichen wie Dateinamen oder den MIME-Typ, den der Server übermittelt. Gibt es Grund zum Zweifel, etwa weil widersprüchliche Angaben vorliegen, schaut er in die Datei hinein und entscheidet an Hand des Inhalts, wie sie zu behandeln ist. Dieses sogenannte MIME-Sniffing kann dann sogar dazu führen, dass er in einer Bilddatei HTML-Code entdeckt, diesen rendert und eingebettetes JavaScript ausführt. Dieser Script-Code läuft dann im Kontext der Website und kann beispielsweise die Zugangsdaten des Anwenders ausspionieren.

Deshalb sollten die Betreiber von Webseiten, bei denen Anwender Bilder hochladen können, Typ und Inhalt der Bilder prüfen, bevor sie diese online stellen. Alternativ können sie die Bilder auch konvertieren, um eventuell eingebetetten Code zu entfernen. Den genauen Hintergrund und Demonstrationen des Problems präsentiert ein Hintergrund-Artikel auf heise Security.

Siehe dazu auch:

(ju)