Verfasst: Di 10. Feb 2004, 11:06
Die Übertragung is eben nur die halbe Miete.
Zitat aus Heise.de:
Opera zeigt falsche Dateiendungen bei Download an
Durch einen Fehler im Webbrowser Opera ist es möglich, Anwendern Dateien mit gefälschten Dateiendungen unterzuschieben. Durch die Übermittlung einer gefälschten CLASSID (CLSID) zeigt der Browser beispielsweise statt der Endung HTML die Endung PDF an, berichtet der Sicherheitsdienstleister Secunia. Ein Anwender kann damit überlistet werden, eine Datei mit vermeintlich vertrauenswürdiger Endung zu öffnen. Ein ähnlicher Fehler wurde Ende Januar im Internet Explorer entdeckt. Zur Demonstration trug eine HTML-Datei eine ausführbare EXE-Datei in sich.
Wählt der Anwender im Download-Dialog statt Speichern die Option Öffnen, so wird die entsprechende Datei mit der verknüpften Applikation gestartet -- im beschriebenen Beispiel statt der angezeigten PDF-Datei die HTML-Datei mit der kodierten EXE-Datei. Der gleiche Trick funktioniert auch bei Opera-Version für Windows ab 7.x. Opera hat bislang noch nicht auf das Problem reagiert. Auch Microsoft hat noch keinen Patch angekündigt, der das Problem im Internet Explorer beseitigt.
Anwender sollten im Download-Dialog niemals Öffnen wählen, sondern die Datei immer erst lokal speichern. Öffnet man anschließend die gespeicherte Datei, meldet die verknüpfte Applikation einen Fehler oder bricht ab.
