Microsofts Outlook tappt ebenfalls in URI-Falle

Wie der Sicherheitsdienstleister Secunia meldet, ist auch Outlook Express und 2000 vom Windows-URI-Problem betroffen. Somit kann nicht nur in Firefox, Skype, Adobe Reader, Miranda, mIRC und Netscape sondern auch in Microsoft-Applikationen ein falscher Klick dazu führen, dass beliebige Programme auf dem System des Anwenders gestartet werden. Bislang hatte Microsoft Forderungen nach einem Patch, der das Problem an der Wurzel, nämlich in Windows behebt, mit dem Verweis gekontert, man sehe kein Sicherheitsproblem in Microsoft-Produkten.

Ursache des Problems ist das inkonsistente Verhalten von Windows beim Öffnen bestimmter URLs mit ungültigen Zeichenfolgen. Während Windows XP mit Internet Explorer 6 zu deren Bearbeitung den zuständigen URL-Handler – bei "mailto:" beispielsweise Outlook Express – startet, führt es mit installiertem Internet Explorer 7 direkt eine Applikation aus; in den harmlosen Demos meist den Taschenrechner. Windows Vista hingegen erzeugt bei den gleichen URLs lediglich eine Fehlermeldung. Der Sicherheitsdienstleister Secunia war einer der ersten, der beim Bekanntwerden dieses Problems nicht Firefox, sondern Windows als eigentliche Ursache ausmachte.

Viele Applikationen reichen URLs, für die sie sich nicht zuständig fühlen, einfach an das Betriebssystem weiter. So auch Outlook Express und Outlook 2000, wenn es die in einer VCard angegebene URL öffnen soll. In einem kurzen Test von heise Security startete beim Klick auf "Gehe zu" im Adressbuch ohne Nachfrage der Taschenrechner. Das kann unter Windows XP mit IE7 dann dazu führen, dass Angreifer über speziell präparierte VCards beispielsweise Spyware auf einem System einschleusen könnten.

Erst gestern hatte Adobe vor einem ähnlichen Problem in Adobe Reader/Acrobat gewarnt und einen Patch für Ende Oktober in Aussicht gestellt. Firefox und Skype hatten bereits davor Updates veröffentlicht, die ihre Anwender schützen sollen; mIRC, Netscape und Miranda sind immer noch anfällig. Mit der Veröffentlichung der Tatsache, dass auch Outlook in die URI-Falle tappt, steigt die Hoffnung, dass Anwender nicht über Monate hinweg kritische Lücken in dutzenden Applikationen beheben müssen, sondern sich Microsoft nun doch des Problems annimmt und das Verhalten von Windows etwas berechenbarer gestaltet.

Siehe dazu auch:

• Microsoft Windows URI Handling Command Execution Vulnerability Sicherheitsnotiz von Secunia
• Adobe warnt vor URI-Problemen auf heise Security
• URI-Problem zieht weitere Kreise, Acrobat Reader und Netscape anfällig auf heise Security

(ju/c't)