Ein weiteres ernstes Sicherheitsleck klafft in Microsofts Browser: Er öffnet Dateien mit gefälschter Dateiendung und führt dadurch unter Umständen gefährlichen Code aus.

Das in der Mailingsliste 'Full Disclosure' diskutierte Leck im Internet Explorer verhindert, dass Microsofts Browser die CLASSID einer Datei überprüft. So ist es möglich, dem Browser Dateien mit geänderter Dateiendung unterzuschieben. Wer denkt, er öffne eine vermeintlich sichere PDF-Datei, führt möglicherweise eine HTML-Datei mit gefährlichem Code aus.

Ein Patch für das Problem existiert noch nicht. Im Download-Dialog sollte deshalb auf jeden Fall die Option "Speichern" gewählt werden und nicht "Öffnen". Wird die Datei mit der manipulierten Endung dann von der Festplatte geöffnet, bemerkt die entsprechende Anwendung die fehlerhafte Endung.

Falls beispielsweise PDFs im Internet Explorer automatisch ohne Nachfrage geöffnet werden, muss die entsprechende Option im Acrobat Reader deaktiviert werden. Die geschieht bei den Eigenschaften im Punkt Optionen: "PDF im Browser anzeigen".