Menü

Erste Fehler in Sicherheitsfunktion von Service Pack 2

Von
vorlesen Drucken Kommentare lesen 600 Beiträge

Wenige Tage nach der Freigabe der endgültigen Version hat heise Security erste Schwachstellen in einer neuen Sicherheitsfunktion von Service Pack 2 für Windows XP entdeckt. Mit SP2 warnt Windows den Anwender, wenn er versucht, Dateien auszuführen, die aus dem Internet stammen. Internet Explorer und Outlook Express markieren solche Dateien beim Abspeichern auf dem lokalen System mit der Zone, aus der sie stammen.

Die Umsetzung dieser Warnfunktion enthält jedoch zwei Schwachstellen, die deren Wirksamkeit beeinträchtigen. So ignoriert die Kommandozeilen-Shell ###italic[cmd]italiczu### die Zonen-Information komplett. Das könnten Virenbastler ausnutzen, um die neuen Schutzfunktionen von Service Pack 2 zu umgehen und Anwender dazu zu bringen, gefährliche E-Mail-Anhänge auszuführen. Der c't-Emailcheck demonstriert, wie eine angebliche GIF-Datei ohne Warnung ausgeführt wird, wenn der Anwender den Anweisungen einer E-Mail folgt.

Außerdem speichert der Windows Explorer die Zonen-Informationen einer Datei und aktualisiert sie nicht korrekt, wenn diese überschrieben wird. Das kann dazu führen, dass der Explorer eine Datei ohne Warnung startet, obwohl sie aus dem Internet stammt, weil er veraltete Cache-Informationen einer längst nicht mehr existierenden Datei gleichen Namens verwendet. Während man bei dem cmd-Problem noch argumentieren kann, dass die Absicherung der Kommandozeile nicht Aufgabe von SP2 sei, handelt es sich hier um einen klaren Programmierfehler. Bisher ist allerdings kein Weg bekannt, wie man das mit einer E-Mail oder von einer Web-Seite aus ausnutzen könnte.

Beide Probleme beeinträchtigen lediglich die Effizienz der neuen Sicherheitsfunktionen; Anwender, die Service Pack 2 installieren, setzen sich damit keinen neuen Gefahren aus, die sie ohne Service Pack 2 nicht hätten. Die Installation von Service Pack 2 bringt deutliche Sicherheitsverbesserungen und ist vom Sicherheitsstandpunkt trotzdem zu empfehlen.

Microsoft wurde von heise Security über den Sachverhalt unterrichtet, sieht jedoch keinen Handlungsbedarf: "Das von Ihnen beobachtete Verhalten widerspricht nicht den Design-Zielen dieses Features" und: "Derzeit betrachten wir dies nicht als Angelegenheit, für die wir einen Patch oder Workaround entwickeln würden", antwortete das Microsoft Security Response Center. Dass ein Bug durch Definition passender Design-Ziele verschwindet, bezweifelt der aktuelle Kommentar auf heise Security: Microsoft und die Vertrauensfrage

Siehe dazu auch: (ju)