Menü
Security

Microsoft will URI-Lücke in Windows patchen

Von
vorlesen Drucken Kommentare lesen 264 Beiträge

Nach einer 180-Grad-Kehrtwende bestätigt Microsoft nun die Existenz einer "URL-Handling-Sicherheitslücke in Windows" in einem Knowledge-Base-Artikel und stellt einen Patch in Aussicht. Der Hauptgrund für den Sinneswandel ist laut Security Response Center, dass Microsoft in der Diskussion um das Problem selber zur Verwirrung beigetragen habe, indem es heise Security in einer Stellungnahme zu der Lücke das falsche "Set of Talking Points" geliefert habe, also laut Wikipedia den falschen Satz an PR-Phrasen. Die sich an eine diesbezügliche Meldung anschließende Diskussion auf der Sicherheitsmailingliste Full Disclosure habe die Redmonder dann bewogen, doch zu reagieren. Ein weiterer Grund könnte allerdings sein, dass sich kürzlich heraussstellte, dass auch Microsoft-Anwendungen wie Outlook Express und Outlook 2000 von dem Problem betroffen sind.

Im Blog des MSRC wird auch erklärt, wieso das Problem nur in Kombination mit dem Internet Explorer 7 unter Windows XP und Server 2003 auftritt. Mit der Installation des IE7 werden aufgerufene URIs zuerst genauer vom Browser auf ihre Gültigkeit untersucht und im Zweifel verworfen. Laut Microsoft versucht anschließend aber noch die Windows-Funktion ShellExecute() die URI zu interpretieren. Unter Vista wird dabei eine fehlerhafte URI, etwa mit Prozent- und Anführungszeichen an bestimmten Stellen, verworfen – unter XP allerdings nicht, was dazu führt, dass sich installierte Programme über ShellExecute() mit beliebigen Parametern starten lassen. Mit dem Internet Explorer 6 unter XP läuft die Verarbeitungsreihenfolge einer URI andersherum, weshalb der Fehler dort nicht auftritt.

Durch den geplanten Patch soll die URI-Verarbeitung der Funktion ShellExecute() sicherer werden. Daneben empfiehlt Microsoft Herstellern von Anwendungsprogrammen aber ebenfalls, die Gültigkeit der übergebenen URI zu prüfen, wie es Firefox und Skype bereits getan haben und Adobe demnächst tun will.

Siehe dazu auch:

(dab)