Der Internet Explorer von Microsoft enthält eine Sicherheitslücke, durch die die Zugangsdaten für einen FTP-Server schnell in die falschen Hände gelangen können. Betroffen sind die Versionen 6 und 7 des Browsers aus Redmond.

Speichert man ein HTML-Dokument, dass auf einem FTP-Server abgelegt ist, über den Internet Explorer lokal ab, so speichert er die Herkunfts-URL als Kommentar in der Datei ab. In dieser Adresse findet man auch den Nutzernamen und das Passwort im Klartext wieder.

Vor allem beim Gestalten einer Homepage kann es schnell passieren, dass man sich die Online-Version einer Seite herunterlädt und dann bearbeitet - ein zusätzlicher Kommentar ist schnell übersehen und landet dann mit auf dem Webserver und wäre für jeden sichtbar.

Entdeckt wurde das Problem von Brian Krebs, der im Sicherheitsblog der Washington Post darüber berichtete. Er fragte bei Microsoft nach und erhielt als Antwort, dass der IE die Adresse speichert, um lokal die Sicherheitszone zuordnen zu können. Benutzername und Passwort gehören laut den Redmondern zu einer vollständigen URL dazu.