Anti-Trust-Verfahren gegen Microsoft

Bei Microsoft scheint man zur zeit zu Schnellschüssen zu neigen. Ob daran die allgemeine vorweihnachtliche Hektik Schuld ist oder die Entwickler von Sicherheitspatches den Überblick über die diversen Windows-Versionen verloren haben, sei dahingestellt. Fest steht jedoch, dass diesen Monat ein veröffentlichter Sicherheits-Hotfix nach kurzer Zeit wieder zurückgezogen werden musste, da auf Windows-ME-Installationen Schwierigkeiten auftraten.

Nun ist ME nicht gerade das Flaggschiff der Redmonder Betriebssystemflotte. Trotzdem ist es unschön, dass man diese Windows-Variante offensichtlich nicht in die üblichen Hotfix-Tests einbezieht: eine Woche nach der Veröffentlichung eines Patches zur Behebung eines DoS-Angriffs auf den Universal Plug-and-Play-Service von Windows ME und XP musste Microsoft den Gang nach Canossa antreten und die ME-Version wieder aus dem Verkehr ziehen. Eine knappe weitere Woche später wurde der entsprechende Patch wieder zur Verfügung gestellt (Q309073).

In der Oktoberausgabe berichtete iX von einem Speicherleck in verschiedenen Versionen des Windows Media Player. Dieses Leck, das sich in der Funktion zum Verarbeiten so genannter Windows-Media-Station-Dateien befindet, erlaubt es, beliebigen Code auszuführen. Microsoft stellte einen Patch zur Verfügung, übersah aber, dass die Verarbeitungsroutine für Dateien im Advanced-Streaming-Format ein ähnliches Sicherheitsloch aufweist: betroffen sind die Versionen 6.4, 7.0, 7.1 und der Media Player for XP. Ein Hotfix ist verfügbar, der zudem einige ältere Sicherheitslöcher im Media Player stopft und im Servicepack 3 für Windows 2000 enthalten sein wird (Q308567).

Beim Internet Explorer gilt es, einige Sicherheitslecks zu dichten. Am 13. November veröffentlichte Microsoft einen so genannten ‘Cumulative Patch’ für die IE-Versionen 5.5 und 6.0, der zwei Lecks gleichzeitig schließt: Zum einen sind derart gepatchte IEs davor gefeit, auf unpunktierte IP-Adressen hereinzufallen; dieses Kuriosum wurde im letzten Heft an dieser Stelle vorgestellt. Zum anderen behebt der Patch zwei Fehler, die es weniger wohlwollenden Webmastern erlauben, beliebige Cookies von Besuchern seiner Seiten auszulesen und unter Umständen zu verändern.

Normalerweise sollten Cookies keine schützenswerten Daten beinhalten. Nicht wenige Websites aber vertrauen den virtuellen Kekskrümeln aber sensible Informationen (beispielsweise Benutzernamen und Passwort) an, darauf vertrauend, dass der Browser diese Daten nur an den Webserver wieder herausrückt, von dem sie ursprünglich stammen. Wer die oben erwähnte Sicherheitslücke ausnützt, kommt an Informationen heran, die nie für seine Augen bestimmt waren. Aus diesem Grund sollten alle Benutzer des IE den entsprechenden Hotfix dringend installieren, der selbstverständlich im nächsten Servicepack für die IE-Versionen enthalten sein wird.

Einigen Streit gab es zwischen Microsoft und dem Entdecker einer der beiden Sicherheitslücken, die den freien Zugriff auf Cookies ermöglichen. Nach eigenen Angaben stolperte die finnische Firma Online Solutions Oy am 1. November über dieses Problem und informierte sofort das Microsoft Security Response Center, wobei die Finnen den Redmondern eine Frist von einer Woche setzten, bevor sie das Sicherheitsleck veröffentlichen wollten. Microsoft ließ diese Frist verstreichen, ohne einen Patch zu liefern, was man in Finnland übel nahm und die Öffentlichkeit über diese Sicherheitslücke informierte. Dies wiederum stieß auf wenig Gegenliebe in Redmond, und Online Solutions wird im entsprechenden Security Bulletin zur Strafe nicht erwähnt. Hier scheinen zwei Dickköpfe dies- und jenseits des Atlantiks Armdrücken per E-Mail gespielt zu haben; etwas mehr Diplomatie auf beiden Seiten wäre sicherlich angebracht gewesen. Wer die vollständige Geschichte der Auseinandersetzung lesen will, schaut auf www.solutions.fi nach; wer den Hotfix herunterladen möchte, tut dies auf den Security-Webseiten von Microsoft (Q312461).

Es sei angemerkt, dass nicht nur der IE unter einer Schwachstelle in der Cookie-Verwaltung leidet; auch Opera erlaubt es, beliebige Cookies auszulesen, ebenso wie den Webseiten-Cache und die Verlaufsliste. Opera hüllt sich dazu noch in Schweigen.

Einige sicherheitsrelevante Probleme der RunAs-Funktion von Windows 2000 sollen nicht mehr mit einem Hotfix behoben werden, sondern erst mit Servicepack 3. Es handelt sich dabei um folgende Eigenschaften von RunAs: Zum einen hinterlässt der RunAs-Service unter Umständen Benutzer- und Passwortinformationen im Klartext im Speicher, von wo sie wieder ausgelesen werden können, zum anderen kann man eine Named Pipe anlegen, die denselben Namen wie die des RunAs-Services trägt, um auf diesem Weg an Anmeldeinformationen zu gelangen. Ferner existiert eine DoS-Schwachstelle, die aber von untergeordneter Bedeutung ist.

Der IIS weist eine ganz andersartige Schwachstelle auf. Mittels bestimmter URLs ist es möglich, zusätzliche Einträge im Logfile zu erzeugen, woraus sich - zugegebenerweise etwas mühsam - folgendes Szenario konstruieren lässt: Ein Websurfer klickt auf einem entsprechend preparierten Link, der ihn auf eine Website verweist, deren Administrator ein scharfes Auge auf seine IIS-Logs wirft. Neben dem eigentlichen Eintrag erzeugt diese Aktion eine weitere Zeile im Log, die so beschaffen ist, dass der wachsame Webmaster sie als Spur eines Angriffs interpretiert und versucht, den vermeintlichen Verursacher zur Rechenschaft zu ziehen.

Daraus eine echte Bedrohung abzuleiten ist aber etwas weit hergeholt. Das IIS-Team in Redmond hat momentan wohl andere Sorgen: Der Anteil der Websites, die IIS verwenden, ist im Oktober und November gefallen, was laut dem Netcraft Web Server Survey teils auf die aktuelle Sicherheitsproblematik beim IIS zurückzuführen ist, teils auf eine Umstrukturierung des Hosting-Anbieters Homestead, der Microsofts Webserver massiv einsetzt. Der Buckingham-Palast hingegen setzt ein Zeichen gegen diesen Trend: Seit dem Relaunch des Webauftritts der Royals setzen die königlichen Webmaster nicht mehr auf Linux/Apache, sondern auf den IIS.

Näheres zu den einzelnen Sicherheitsproblemen gibt es online. Die angegebenen KnowledgeBase-Artikel sind unter search.support.microsoft.com/kb erhältlich. Über die iX-Webseite sind alle bisherigen Ausgaben von ‘Windows Security’ zu erreichen. (wm)