Moin,

Oh Mann - JavaScript-Code, der im Browser direkt ausgeführt wird - sowas hinterhältiges hab ich ja vielleicht gerade erst 10 Mio. Mal selber gecoded

Wer zitieren kann, ist klar im Vorteil: "Nachdem eine Webseite geladen wurde, kann eine andere Domain immer noch auf die Frame-Kollektion zugreifen und die URLs der Frames verändern. Dadurch könne laut GreyMagic JavaScript-Code eingebunden und direkt ausgeführt werden."

Das Zauberwort ist hier "andere Domain". Ohne mir das näher angesehen zu haben, sieht das aus wie eine Cross Site Scripting-Lücke direkt im Browser, was nichts anderes bedeutet, als dass a) Seiten beliebige Aktionen in der Domain einer anderen Seite ausführen können (Authentifizierungscookies stehlen!) und dadurch b) das Sicherheitszonenmodell ausgehebelt wird, welches eigentlich verhindern sollte das Seiten aus dem Internet Zugriff auf lokale Dateien erhalten. Den (Microsoft-proprietären) JavaScript-Schnipsel mit dem beliebige Kommandos auf dem Rechner ausgeführt werden können, wenn er in der lokalen Zone ausgeführt wird, findest du im Archiv.

--
Henryk Plötz
Grüße von der Ostsee