04.02.2010 11:25
Alert! Microsoft bestätigt neue Lücke im Internet Explorer [Update]
Microsoft hat die am Dienstag offiziell auf der Sicherheitskonferenz Black Hat DC vorgeführte Sicherheitslücke bestätigt und eine eigene Warnung veröffentlicht. Die Lücke ermöglicht es einer präparierten Webseite, auf beliebige Dateien auf dem PC zuzugreifen und deren Inhalte auszulesen. Dazu muss der Angreifer zwar den konkreten Pfad und den Dateinamen wissen, bei den üblichen Standardinstallationspfaden sind die aber meist bekannt.
Grundsätzlich sind alle Versionen des Internet Explorer von 5.01 bis 8 auf allen noch unterstützten Windows-Plattformen betroffen. Die Lücke lässt sich im Internet Explorer 7 und 8 unter Windows 7, Vista und Server 2003/2008 nicht ausnutzen, wenn im Webbrowser der geschützte Modus (Protected Mode) aktiviert ist – standardmäßig ist er das.
Microsoft untersucht nach eigenen Angaben, wie es das Problem lösen kann. Allerdings ist es wohl nicht so einfach zu lösen, wie der Entdecker der Lücke Jorge Luis Alvarez Medina von Core Security Technologies bereits mehrfach unterstrich. Kern des Problems ist, dass die Einstellungen der Sicherheitszonen im Internet Explorer nicht immer greifen, wenn eine Pfadangabe im Browser im UNC-Format (Uniform Naming Convention, UNC) angegeben ist, beispielsweise file://127.0.0.1/C$/.../index.dat. Damit kann ein JavaScript aus der Internet Zone unter bestimmten Umständen auf eine lokal abgelegte Datei zugreifen (und sie rendern), obwohl das Zonenmodell dies verbietet.
Core Security hat zwei solcher sogenannten Cross-Domain-Schwachstellen bereits 2008 und 2009 an Microsoft gemeldet, die dafür auch jeweils Updates bereitgestellt haben. Bislang hat Microsoft immer nur an einer Stelle geflickt, ohne jedoch das eigentliche Problem zu behandeln. In der Folge hat nun Medina einen weiteren Weg gefunden, lokale Dateien auszulesen. Dabei macht er sich einen Fehler bei der Ermittlung des MIME-Types von lokalen Dateien sowie eine Schwäche beim Verarbeiten von OBJECT-Tags zunutze, um die von Microsoft aufgebauten Hürden zu überwinden.
Bis zur Verfügbarkeit einer echten Lösung bietet Microsoft ein Fix-it-Tool zum Download an, mit dem der Internet Explorer das file-Protokoll nicht mehr unterstützt. In der Folge könnten aber Probleme mit anderen Anwendungen auftreten. Update: Anwender von Windows XP Home sind von dem Problem vermutlich nicht betroffen, da es dort keine versteckte administrative Freigabe C$ gibt, auf die eine Webseite zugreifen könnte.
Siehe dazu auch:
- Vulnerability in Internet Explorer Could Allow Information Disclosure, Bericht von Microsoft
- Internet Explorer Dynamic OBJECT tag and URLMON sniffing vulnerabilities
- Internet Explorer bleibt Sorgenkind
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
