Au weia…
Eben bin ich auf einer Seite gelandet, die mir den Inhalt meiner Festplatte gezeigt hat…
Und das trotz abgeschalteten Scripts und ActiveX. Ist das möglich oder war das nur irgend ne Panikmache?
(IE 5.5 alle, Servicepacks)
Gruß
Holger
(…dem gerade irgendwie unwohl ist…)
Keep cool…alles Panikmache.
Der simple Befehl dafür lautet: src=„file:///c:“
Zeigt nur Dir allein den Inhalt Deiner Festplatte an…weiter nix.
Au weia…
Eben bin ich auf einer Seite gelandet, die mir den Inhalt
meiner Festplatte gezeigt hat…Und das trotz abgeschalteten Scripts und ActiveX. Ist das
möglich oder war das nur irgend ne Panikmache?(IE 5.5 alle, Servicepacks)
Es gibt ein Loch das deine Festplatte formatieren kann, ist M$ seit etwa 3 Monaten bekannt und sie haben bis jetzt nicht reagiert (kein Hotfix, kein SP). Das wird normalerweise mit einem dir-Befehl demonstiert und man kann _nichts_ dagehen machen.
liest dir mal bugtrap durch, da müsste es noch vermerkt sein.
cu
jaaaaa…
…jetzt, wo sich der erste Schock mal gelegt hat, habe ich mir auch gerade überlegt, dass in wenigen Sekunden wohl nur ein Directory ausgelesen und nicht die ganze Platte kopiert werden kann…
Dank Dir trotzdem für die schnelle Antwort.
Gruß
Holger
(…der eben ganz schön ins Transpirieren gekommen ist!)
du hat es noch immer nicht ganz begriffen: gib mal oben in deinem browser file://C/ ein …
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
Verzeichnisinhalt im Browser anzeigen
Au weia…
Eben bin ich auf einer Seite gelandet, die mir den Inhalt
meiner Festplatte gezeigt hat…
Und das trotz abgeschalteten Scripts und ActiveX. Ist das
möglich oder war das nur irgend ne Panikmache?
Panikmache. file://C:/ zeigt DIR den Inhalt Deiner Festplatte im Browser an. Aber es werden keinerlei Daten übertragen!!
Ein Browser kann auch lokale Daten anzeigen, die müssen nicht immer im Internet liegen!!!
Es gibt ein Loch das deine Festplatte formatieren kann, ist M$
seit etwa 3 Monaten bekannt und sie haben bis jetzt nicht
reagiert (kein Hotfix, kein SP). Das wird normalerweise mit
einem dir-Befehl demonstiert und man kann _nichts_ dagehen
machen.
Das ist zwar richtig, aber selbst hier werden per se erstmal keine Daten übertragen , sonder Befehle lokal auf Deinem Rechner ausgeführt. Das ist zwar nicht minder tragisch, aber eben etwas anderes.
liest dir mal bugtrap durch, da müsste es noch vermerkt sein.
Das Ding heisst bugtraq, ist eine Mailingliste, die selbstmurmelnd archiviert wird, und ist durchsuchbar unter http://www.securityfocus.com/ (Vorsicht, lahmer Server!)
Gruß,
Doc. 
Moin
Panikmache. file://C:/ zeigt DIR den Inhalt Deiner Festplatte
im Browser an. Aber es werden keinerlei Daten
übertragen!!
Ein Browser kann auch lokale Daten anzeigen, die müssen nicht
immer im Internet liegen!!!
Der aktuelle führt den dir-Befehl lokal aus. Das ist nicht der verlinken-nach-hause Trick, das ist einfach nur die Ausführung eines Prog. Die gleiche Demo-Seite gibts auch für notepad.exe
cu
Hi,
wie ich dazu schrieb:
Das ist zwar richtig, aber selbst hier werden per se erstmal keine Daten übertragen, sondern Befehle lokal auf Deinem Rechner ausgeführt. Das ist zwar nicht minder tragisch, aber eben etwas anderes.
Das im Ursprungsbeitrag beschriebene Verhalten lässt aber doch auf ersteres schließen.
Gruß,
Doc.
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]