Bundesamt für Sicherheit in der Informationstechnik

G 5.111 Missbrauch aktiver Inhalte in E-Mails

Immer mehr E-Mails sind heutzutage auch HTML -formatiert. Einerseits ist dies oft lästig, weil nicht alle E-Mail-Clients dieses Format anzeigen können. Andererseits kann dies auch dazu führen, dass bereits bei der Anzeige solcher E-Mails auf dem Client ungewollte Aktionen ausgelöst werden, da HTML-Mail z. B. eingebetteten JavaScript- oder VisualBasic-Skript-Code enthalten kann.

Durch Kombination verschiedener Sicherheitslücken in E-Mail-Clients und Browsern ist es in der Vergangenheit immer wieder zu Sicherheitsproblemen mit HTML-formatierten E-Mails gekommen (siehe auch G 5.110 Web-Bugs ). Ein Beispiel hierfür findet sich unter anderem im CERT -Advisory CA-2001-06 (unter http://www.cert.org/advisories/CA-2001-06.html).

Stand: Stand 2005