Der Sicherheitsspezialist mit dem Pseudonym http-equiv hat auf der Mailingliste Full Disclosure ein Security Advisory veröffentlicht, das einen weiteren Fehler im Internet Explorer beschreibt, mit dem Webseiten Anwendern Dateien mit gefälschten Dateiendungen unterschieben können. Durch die Übermittlung einer gefälschten CLASSID (CLSID) an den Browser ist es beispielsweise möglich, statt der Endung HTML die Endung PDF anzuzeigen. Eine HTML-Datei, die eine ausführbare EXE-Datei in sich trägt, hat http-equiv bereits bei der Demonstration der gefälschten Ordner veröffentlicht. Dort reichte das Öffnen der HTML-Datei, um das Programm im Kontext des Benutzers zu starten.

http://www.heise.de/security/news/meldung/44120

mmm...

Geht noch besser, siehe heise.de (http://www.heise.de/newsticker/meldung/43991) vom 26.01.04 ... Öffnen von gefälschten Ordnern startet Programme unter XP ... ist also nix neues, nur die Liste der geblockten Anwendungen wird immer grösser (.bat, .dll, .exe, .scr, .com usw.) jetzt auch noch .folder dazu ...