Microsoft
- Christian Segor
Zunächst eine gute Nachricht: In der letzten iX berichteten wir an dieser Stelle von einem Hotfix, der zwar einen Pufferüberlauf im Windows-Kernel behebt, aber massive Performance-Einbußen auf XP-Systemen mit sich bringt. Mittlerweile hat Microsoft den Flicken erneuert und eine neue XP-Version veröffentlicht, die hoffentlich keinen unangenehmen Nebeneffekt mehr hat (811493).
Apropos überarbeiten: Die Programmierer von Microsofts Web-Authentisierungsdienst Passport scheinen mehr als überarbeitet gewesen zu sein, als sie sich an der Komponente zu schaffen machten, mit deren Hilfe ein schussliger Benutzer sein vergessenes Passwort zurücksetzen kann. Über einen geraumen Zeitraum hinweg klaff te hier ein so offensichtliches und gravierendes Sicherheitsloch, dass selbst „grobe Fahrlässigkeit“ eine noch zu harmlose Beschreibung des Verhaltens der Verantwortlichen ist. Da man in dieser Situation wohl auch keinen Vorsatz unterstellen kann, ist nur noch der Schluss möglich, dass man es in Redmond einfach nicht besser wusste.
Das Problem als solches ist schlicht trivial: Es ist möglich, das Passwort eines Passport-Accounts zurückzusetzen, indem man eine spezielle URL öffnet und als (GET-)Parameter sowohl die E-Mail-Adresse des Accounts als auch eine selbst gewählte angibt. Das System generiert dann ein Zufallspasswort und schickt dieses an die eingegebene E-Mail-Adresse, ohne zu überprüfen, ob jene in der Datenbank als gültige Alternativadresse des betroffenen Benutzers hinterlegt ist. Bei näherem Hinsehen ist selbst die spezielle URL nicht mehr ganz so speziell; ein Angreifer kann sie leicht herausfinden, indem er probehalber das Passwort seines eigenen Passport-Accounts zurücksetzt, dabei die passende Adresse notiert und dann die Parameter entsprechend ändert.
Nun stellt bekanntlich ein Passport-Account unter Umständen einen gewissen pekuniären Wert dar, da er den Zugriff auf kostenpflichtige Dienste regelt. Microsofts eigener, nicht gerade billiger Premier Support sei hier nur ein Beispiel. Vor diesem Hintergrund ist eine solche Pfuscherei von Design über Implementierung bis hin zu Abnahme und Qualitätskontrolle noch weniger zu verstehen. Die hektischen Maßnahmen zur Schadensbegrenzung und die offizielle Erklärung auf den entsprechenden Webseiten, die sich so liest, als handele es sich um ein kleineres Problem, das sofort behoben wurde, tragen nicht zur Verbesserung des Rufes bei.
Dabei hätte es doch so einfach sein können: Der Pakistaner Muhammad Faisal Rauf Danka hatte nach eigenen Angaben das Problem am 12. April entdeckt, nachdem sein eigener Account mehrfach auf diese Art und Weise gehackt wurde. Er hat daraufhin - ebenfalls nach eigenen Angaben - mehr als zehnmal vergeblich versucht, Microsoft auf die Sicherheitslücke aufmerksam zu machen, bevor er dann am 8. Mai an die Öffentlichkeit ging, was schließlich hektische Betriebsamkeit in Redmond hervorrief. Die Verantwortlichen für den Passport-Dienst täten gut daran, sich eine Scheibe von ihren Kollegen abzuschneiden, die sich um Sicherheitsprobleme in den MS-Betriebssystemen oder Anwendungen kümmern und normalerweise ein recht gutes Problemmanagement abliefern.
Jene Kollegen haben etwa kürzlich entdeckt, dass der Pufferüberlauf in ntdll.dll (siehe iX 05/03) nicht nur auf Windows-2000-Rechnern ein Sicherheitsloch öffnet, sondern dass auch NT 4.0 und XP betroffen sind; auch wenn Ersteres kein WebDAV unterstützt und Letzteres normalerweise ohne IIS installiert wird und das Problem deswegen dort nicht als „kritisch“ eingestuft wurde. Trotzdem sollten alle Benutzer auch dieser Systeme dringend den passenden Hotfix installieren (815021).
Wer den Windows Media Player in den Versionen 7.1 oder 8.0 verwendet, sollte Vorsicht beim Herunterladen von neuen Skins walten lassen. Die entsprechende Komponente versäumt es, Skin-Dateien auf ihre Gültigkeit zu überprüfen und lässt sich somit beliebige Programmdateien unterjubeln. Zu allem Überfluss kann ein Angreifer auch noch den Speicherort im Dateisystem festlegen, so dass es ihm nicht weiter schwer fällt, etwa einen Trojaner in das Startup-Verzeichnis zu platzieren. Microsoft hat einen Patch veröffentlicht, der das Problem behebt (817787).
Für den IIS in den Versionen 4.0, 5.0 und 5.1 gibt es einen neuen „cumulative patch“, der vier als „wichtig“ eingestufte Hotfixes enthält. Außerdem verschließt der Sammelflicken wie immer alle zuvor bekannt gewordenen Sicherheitslücken; jeder Webmaster, der den IIS verwendet, sollte ihn also als eine Art kleines Servicepack betrachten und bei nächster Gelegenheit installieren (811114).
Näheres zu den einzelnen Sicherheitsproblemen sowie die angegebenen KnowledgeBase-Artikel gibt es online. (js)
