News-Meldung vom 05.10.2007 11:23

URI-Problem zieht weitere Kreise, Acrobat Reader und Netscape anfällig [2.Update]

Nach einer Benachrichtigung durch heise Security hat Skype in der aktuellen Version 3.5.0.239 ein Sicherheitsproblem bei der Behandlung spezieller URLs stillschweigend behoben. Andere Programme wie Adobes Acrobat Reader, der Netscape-Browser und das Instant-Messaging-Programm Miranda starten hingegen immer noch bei einem einfachen Klick auf spezielle URLs mit einem %-Zeichen beliebige Programme und installieren damit möglicherweise Spyware auf dem System der Anwender. Ein ähnliches Problem haben die Mozilla-Entwickler kürzlich in Firefox zumindest provisorisch beseitigt.

Doch während das Mozilla-Team die Lücke als kritisch einstufte, dazu eine eigene Sicherheitsnotiz herausgab und vor allem die Anwender über den Update-Mechanismus mit der verbesserten Version versorgte, hielt Skype nichts von alledem für nötig. Lediglich der nichtssagende Hinweis "bugfix: Links with invalid % encodings were executed" in den Release Notes, die kein normaler Anwender zu Gesicht bekommt, kündet von dem behobenen Sicherheitsproblem. Skype-Nutzer sollten deshalb so schnell wie möglich selbst die aktualisierte Version einspielen. Das geht recht einfach über "Hilfe/Auf Aktualisierung prüfen".

Es lässt sich trefflich darüber streiten, ob wirklich Skype oder nicht etwa Windows für das Problem verantwortlich ist. So betonte auch Jüri Shamov-Liiver, Skypes Leiter der Abteilung Produktsicherheit gegenüber heise Security, dass dies eigentlich ein Windows-Problem sei. Skype reiche die URL lediglich an das Betriebssystem weiter. Tatsache ist, dass Microsoft mit der Installation des Internet Explorer 7 unter Windows XP offenbar die Behandlung von URLs durch das Betriebssystem so geändert hat, dass spezielle Links, die ein %-Zeichen enthalten, direkt zum Aufruf beliebiger Programme führen können.

Skype und Firefox haben dieses Problem jetzt durch zusätzliche Filter behoben – aus der Welt ist es damit keineswegs. Theoretisch sind alle nicht von Microsoft stammenden Applikationen gefährdet, die URLs an Windows weiterreichen, weil sie sich nicht zuständig fühlen. Eine kurze Stichprobe von heise Security zeigte, dass beispielsweise Adobes aktueller Acrobat Reader durchaus auch praktisch als Einfallstor für Schädlinge dienen könnte. Ein Klick auf einen Link in einer entsprechend präparierten PDF-Datei startete bei einem schnellen Test den Taschenrechner. Auch der aktuelle Netscape-Browser und die soeben veröffentlichte Version 0.7 des Instant Messengers Miranda erwiesen sich als anfällig; die Liste lässt sich vermutlich mit etwas Suchen weiter verlängern.

Microsoft sieht jedoch weiterhin keine Veranlassung, an Windows nachzubessern. Auf eine diesbezügliche Anfrage von heise Security an Microsofts Security-Team kam die lapidare Antwort, dass dies keine Schwachstelle in einem Microsoft-Produkt sei. Dass viele Windows-Anwender von einem Problem betroffen sind, das erst durch die Installation des Internet Explorer 7 hervorgerufen wird, und unter Vista erst gar nicht auftritt, reicht offenbar nicht aus, ein Update für Windows XP zu rechtfertigen. Vielmehr sieht es so aus, als wolle man in Redmond das Problem auf dem Rücken der Anwender aussitzen.

Update:
Das Problem ist nicht auf mailto:-URLs beschränkt. Selbst die Eingabe von

http:%xx../../../../../../../../../windows/system32/calc.exe".cmd

unter "Start/Ausführen" startet den Taschenrechner. Des weiteren ist einem Bericht auf einer Sicherheits-Mailingliste zufolge auch der IRC-Client mIRC betroffen.

2.Update:
Man kann PDF-Dateien beim Öffnen einen Link aufrufen lassen. Das bedeutet, dass eine PDF-Datei über diese Schwachstelle bereits beim Öffnen im Acrobat Reader externe Programme ausführen und beispielsweise Schadsoftware auf dem Rechner installieren könnte. Eine von heise Security erstellte Demo-PDF-Datei startete ohne Rückfragen den Taschenrechner. Bei diesem kritischen Sicherheitsproblem dürfte es sich um das gleiche handeln, das Petko Petkov unabhängig entdeckt und beschrieben hat.

Siehe dazu auch: