Microsoft

Diesmal hat es etwas länger gedauert. Über den letzten „cumulative patch“ für den Internet Explorer berichtete iX in der Februarausgabe; jetzt erst gibt es den nächsten. Eine gewisse Stabilisierung der Sicherheit des IE 6 lässt sich aufgrund der immer größeren Zeitabstände zwischen den einzelen Hotfix-Paketen nicht leugnen; einen wirklich sicheren Web-Browser kann es aber trotzdem wohl nie geben.

Vier neue Sicherheitslücken soll der aktuelle Sammelflicken schließen:

• Ein Pufferüberlauf in der IE-Komponente, die die Kommunikation zwischen Browser und Webserver überwacht, kann dazu führen, dass Angreifer beliebigen Code im Sicherheitskontext des Benutzers ausführen.
• Ein Fehler in der Routine zum Darstellen von so genannten Fremdinhalten (das sind alle Dokumenttypen, die nicht direkt als Webseiten oder Teile davon erkennbar sind, etwa PDF-Dateien) erlaubt es, beliebige Skriptkommandos ebenfalls im lokalen Sicherheitskontext auszuführen.
• Die File-Upload-Komponente lässt sich per Skript ansteuern. Damit ist es möglich, dass der Betreiber einer Webseite beliebige Dateien vom Rechner seiner Besucher auf seinen eigenen Computer hochlädt; genauso, als ob der betroffene Benutzer selbst diesen Upload veranlasst hätte, nur eben ohne dessen Wissen.
  
• Schließlich existiert ein Sicherheitsloch beim Darstellen von modalen Dialogboxen (also solchen, die alle weiteren Eingaben blockieren, solange sie geöffnet sind), das ebenfalls den Zugriff auf alle lokalen Dateien erlaubt.
  

Da Microsoft drei der vier Sicherheitslücken als „kritisch“ einstuft, sei die Installation des Hotfix-Bündels allen IE-Benutzern dringend angeraten (813489).

HTML-Dokumente bestehen bekanntlich im allgemeinen Fall aus mehreren Teilen: Grafiken, Multimedia-Komponenten, Applets und dem eigentlichen Hypertext. Gelegentlich ist es recht hilfreich, alles zusammen in einer Datei abspeichern zu können - etwa für den Versand per E-Mail oder zum einfachen Archivieren. Dafür ist MHTML eine feine Sache: Es fasst alle benötigten Komponenten MIME-kodiert in einer Datei zusammen. Praktischerweise lassen sich diese Dateien (die Dateiendung lautet .mht) wieder direkt mit dem IE öffnen, ohne dass manb die einzelnen Teil zuvor manuell auspacken muss. Dabei behandelt der IE die resultierende Webseite so, als käme sie direkt von der ursprünglichen Adresse; insbesondere Skripte führt er in der richtigen IE-Sicherheitszone aus. Das gleiche Konzept wird für E-Mails verwendet, die man im HTML-Format verschickt. Folgerichtig ist der entsprechende URL-Handler - also die Komponente, die sich um die korrekte Bearbeitung der entsprechenden Dateien kümmert - nicht im IE direkt, sondern in Outlook Express implementiert, das die Redmonder ja ihrem Browser immer beipacken. Dummerweise ist den Programmierern ein Flüchtigkeitsfehler unterlaufen, der ein recht gravierendes Sicherheitsloch öffnet: der entsprechende URL-Handler akzeptiert nicht nur MHTML als Eingabe, sondern versucht, jeden Dateityp zu rendern, auch wenn es sich um eine ungültige Eingabe handelt.

Dieses Verhalten kann ein Bösewicht ausnutzen, um Skripte, die allerdings bereits auf dem betroffenen Rechner vorhanden sein müssen, ohne Wissen des Benutzers zu starten. Gemeinerweise werden diese Skripte in der IE-Sicherheitszone „lokaler Computer“ ausgeführt, was ihnen erweiterte Rechte gewährt. Es ist somit auf jeden Fall eine gute Idee, den entsprechenden Patch zu installieren (der übrigens alle weiteren bisher veröffentlichten Hotfixes für Outlook Express enthält). Außerdem - hier kommt das ceterum censeo des Autors - wäre es eine gute Gelegenheit, zu überdenken, ob man Active Scripting in der Internet-Zone abschalten oder wenigstens einschränken sollte (330994).

Ein thematisch eng verwandtes Sicherheitsloch wurde in der Microsoft-Implementierung der Java VM bekannt: Ein Fehler im so genannten „ByteCode Verifier“, der Komponente, die das Java-Kompilat vor der Ausführung auf Korrektheit überprüft. Er erlaubt einem Angreifer, beliebigen Code im Sicherheitskontext des Benutzers auszuführen. Einen Patch gibt es nicht, aber eine neue Version der VM, die über Windows Update erhältlich ist (816093).

Wer sich darüber ärgert, dass der Netzwerkadministrator einem nicht die „Power User“-Rechte auf dem Arbeitsplatzrechner geben möchte, kann sich jetzt freuen: ein Pufferüberlauf im Windows-Kernel gestattet es, sich den eigenen Administratoren-Account einfach selbst anzulegen. Vorausgesetzt, man verfügt über das passende Exploit-„Tool“. Betroffen sind alle Windows-Versionen von NT 4 bis XP; und falls man Letztere verwendet, sind die Chancen nicht schlecht, dass oben erwähnter Systemverwalter den veröffentlichten Patch noch nicht eingespielt hat. Der Flicken hat nämlich unter Umständen massive Auswirkungen auf die Performance. Eine Lösung hierfür gibt es noch nicht (811493).

Näheres zu den einzelnen Sicherheitsproblemen sowie die angegebenen KnowledgeBase-Artikel gibt es online. (wm)