[Internet] JPEG enthält VBS!

JPEG enthält VBS!

Moin.
Der Titel ist nicht reißerisch... ich bin nicht die BILD

Ich will euch bloß warnen.
Ich habe einen "scherz" erlebt, bei dem man ein ganz normales JPEG file lädt. DIeses enthält VBscript, welcher einem alle CD-Rom laufwerke öffnet. Das ist natürlich gefahrlos, aber die tatsache, das alleien das surfen auf einer Seite mit JPEG Bildern VBS ausführen kann....

http://www.just-owned.de/mtw.jpg

Dort ist dieses Bild. kein .jpg.vbs! Ich habe XP und den IE6.
Ein mal kam ein fehler beim laden des Bildes, der mich im Visual Studio den source btrachten lies (wie der da reinkam... kA). Das Bild ist völlig ungefährlich und öffnet ausschließlich die Laufwerke.

Aber die Gefahr, die davon ausgeht... das hätte ich nicht gedacht.

Moin,

mit dem IE passierts bei mir auch, mit Opera geht´s nicht

und hier der Quelltext dazu...

---- Schnipp ----

<SCRIPT language=VBScript>
<!--

Set oWMP = CreateObject("WMPlayer.OCX.7" )
Set colCDROMs = oWMP.cdromCollection

if colCDROMs.Count >= 1 then
For i = 0 to colCDROMs.Count - 1
colCDROMs.Item(i).Eject
Next ' cdrom
End If

-->
</SCRIPT>

<img src="http://www.just-owned.de/s/gfx/scared.gif">

---- Schnipp ----

Ciao Zaphod

Welcher Idiot hat eigentlich damals beschlossen, Meta-Daten in einem Bild zu hinterlassen? :kotz

Original geschrieben von Brummelchen
Welcher Idiot hat eigentlich damals beschlossen, Meta-Daten in einem Bild zu hinterlassen? :kotz

Zum Vergrößern anklicken....

Ne Brummelchen, das ist kein Bild, das ist ein VBScript, das einfach als JPG abgespeichert wurde.
In dem Script wird ein Gif aufgerufen. Siehe obigen Text über Deinem Post.
Mit dem Script wird eine Funktion des Microschrott-Mediaplayers gesteuert.

Ich habe von heise den IE-Controller installiert. Der IE 6 läuft bei mir immer in einer minimalen Konfiguration, also VBScript und alle Schweinereien durch den IEController blockiert. Das bewahrt mich mit dem IE vor unangenehmen Überraschungen, so auch mit dem netten JPG-Bildchen.

Brauche ich - auf einer vertrauenswürdigen Seite - doch mal VBSript oder noch mehr, dann kann ich den IE mit verschiedenen vom IEController definierten Sicherheitsstufen aufrufen.

Link: http://www.heise.de/ct/03/01/086/default.shtml

@Jim
Das würde aber nicht passieren, wenn IE ein Bild nur als Bild sehen würde und nicht irgendwas mit Infos drin, die noch ausgewertet werden müssen, iG zu Opera. <grummel>
Naja, warten wir auf den nächsten patch

Den Quellcode hab ich auch

Aber ist schon mies ...