Tretmine in der Hilfe von Windows XP

Microsoft hat Windows XP mit einem besonderen Hilfe- und Supportcenter ausgestattet. Eine darin enthaltene Lücke ermöglicht es Website-Betreibern, Dateien auf den PCs der Besucher zu löschen.

In Pocket speichern vorlesen Druckansicht 679 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Peter Siering

Der Nachfolger der Online-Hilfe, das Tool "Hilfe- und Supportcenter", in Windows XP lässt sich mit einer Zeile HTML dazu bringen, lokale Dateien zu löschen. Schuld daran sind spezielle Behandlungsroutinen für das HCL-Protokoll, die Microsoft für die Online-Hilfe in XP geschaffen und eingebaut hat. Lädt ein Surfer eine speziell präparierte Web-Seite oder klickt er auf einen entsprechenden Link, erscheint ein Fenster mit "Hilfe für Hardwaregeräte". Wenn er dieses Fenster schließt, löscht das "Hilfe- und Supportcenter" die im Link kodierten lokalen Dateien. Der HTML-Code muss nicht unbedingt über den Browser auf den PC gelangen, sondern könnte auch in einer HTML-Mail stecken.

Die üblichen Sicherungsmechanismen eines Browser greifen bei dieser Art von Angriff nicht, weil Microsoft das Hilfe- und Supportcenter nicht mit den für den Browser eigentlich gewählten Sicherheitseinstellungen laufen lässt. Die im HTML-Code kodierte URL verweist auf eine lokal gespeicherte HTML-Seite (unter C:\WINDOWS\PCHEALTH\HELPCTR\System\DFS) mit dem Namen uplddrvinfo.htm. Sie dient dazu, an Microsoft Informationen zu übermitteln, wenn man ein Gerät partout nicht zum Laufen bekommt. Genau diese Seite innerhalb der Hilfe beinhaltet auch JavaScript-Code, der lokale Dateien löschen kann. Durch Aufruf der Seite mit entsprechenden Parametern lassen sich nahezu beliebige Dateien auf einem XP-System löschen -- allerdings nur die, die der angemeldete Benutzer auch selbst löschen könnte. Außerdem muss der Name der Dateien bekannt sein; ganze Verzeichnisse vernichtet die Funktion nicht.

Obwohl Microsoft bereits Ende Juni von dieser Lücke erfuhr, gibt es bis heute keine Korrektur. Die soll erst mit dem ersten Service Pack für XP kommen. Wer sich bis dahin schützen möchte, sollte schlichtweg die Datei uplddrvinfo.htm aus dem oben genannten Verzeichnis entfernen. Wer es gründlicher erledigen will, legt das Hilfe- und Supportcenter still oder entfernt den HCL-Protokollhandler aus der Registry. Der Entdecker Shane Hird schließt nicht aus, dass sich in der neuen Hilfe noch weitere derartige Tretminen finden lassen. (ps)