zurück zum Artikel

Microsoft warnt vor Cross-Site-Scripting in Windows

In einem Security Advisory [1] (deutsche Fassung im Chief Security Advisor Blog [2]) warnt Microsoft vor einer Lücke in Windows, mit der sich Skripte in scheinbar vertrauenswürdige Seiten einschleusen lassen. Sie beruht auf einem Fehler im MHTML-Handler aller derzeit von Microsoft unterstützten Windows-Versionen, also Windows XP bis Windows 7 inklusive der zugehörigen Server-Versionen. Der Fehler steckt zwar in einer Windows-DLL, doch von den verbreiteten Browsern benutzt nur der Internet Explorer sie, um MHTML anzuzeigen. Doch auch lokal abgelegte MHTML-Dateien (Endung .mht) werden standardmäßig mit dem Internet Explorer geöffnet.

MHTML steht für MIME Encapsulation of Aggregate HTML und beschreibt einen Standard, wie man HTML-Code MIME-konform verpacken kann. Ein Skript, das über diese Lücke gestartet wurde, läuft im Internet Explorer im Sicherheitskontext einer vom Angreifer vorgegebenen Web-Seite. Deren Inhalt kann das Skript dann nachträglich manipulieren oder dort auch Eingaben des Anwenders vorgaukeln oder ausspionieren.

In einem Blog-Eintrag [3] zeigen Dave Ross and Chengyun Chu von Microsofts Security-Team, wie man das eigene System auf Anfälligkeit testet und die Abhilfe, einen Fix, der Scripting und ActiveX in MHTML deaktiviert. Darüber hinaus gibt es eine Reihe weiterer Windows- und IE-Lücken [4], für die es von Microsoft ebenfalls nur Workarounds gibt, die aber bereits ausgenutzt werden. (je [5])


URL dieses Artikels:
http://www.heise.de/-1180079

Links in diesem Artikel:
[1] http://www.microsoft.com/technet/security/advisory/2501696.mspx
[2] http://blogs.technet.com/b/michaelkranawetter/archive/2011/01/28/sicherheitsempfehlung-schwachstelle-in-mthml-betrifft-alle-windows-versionen.aspx
[3] http://blogs.technet.com/b/srd/archive/2011/01/28/more-information-about-the-mhtml-script-injection-vulnerability.aspx
[4] https://www.heise.de/meldung/Microsofts-Januar-Patchday-3-5-1168007.html
[5] mailto:je@ct.de