Microsoft beseitigt Lücke im Hilfe- und Supportcenter
Ein Sicherheitsupdate beseitigt eine Lücke im Hilfe- und Supportcenter (HSC) unter Windows XP und Windows Server 2003, mit der Angreifer Code auf verwundbare Rechner schleusen können.
Microsoft hat ein Security Bulletin -- nebst Sicherheitsupdate -- veröffentlicht, das eine Lücke im Hilfe- und Supportcenter (HSC) unter Windows XP und Windows Server 2003 adressiert. Ein Angreifer kann über spezielle URLs eigenen Scripting-Code in das System eines Anwenders schleusen und in dessen Kontext ausführen. Das Opfer muss dazu allerdings eine manipulierte Webseite besuchen oder eine HTML-Mail öffnen. Windows 2000, 98, ME und NT sind nicht betroffen, da HSC nicht Bestandteil dieser Plattformen ist.
Microsoft beschreibt die Ursache des Fehlers im Bulletin nur oberflächlich. Schuld sei die fehlerhafte Verarbeitung des HSC-eigenen HCP-Protokolls, mit der einige URLs in der falschen Sicherheitszone ausgeführt werden. Um den Fehler auszunutzen sei nach Angaben von Microsoft aber erhebliche Benutzerinteraktion notwendig. Das Hilfe- und Supportcenter dient zur Unterstützung des Anwenders bei Problemen und bedient sich dabei diverser HTML- und JavaScript-Dateien. Das HSC führt lokale HTML-Dateien in der Sicherheitszone "My Computer" aus, um darüber weitere JavaScripte starten zu können.
Ohnehin überlassen die Redmonder seit neuestem den Entdeckern der Lücken die Aufgabe, eine detaillierte Analyse der Schwachstelle in eigenen Advisories zu veröffentlichen. Zu einer zweiten Lücke, die der Patch ebenfalls schließt, liefert der Sicherheitsexperte Donnie Werner -- auch bekannt unter dem schrägen Pseudonym Morning Wood -- eine Beschreibung. Mit einer besonderen URL kann ein Angreifer eigenen Code einschleusen, indem er das System dazu bringt, das HSC zu starten und den DVD-Upgrade-Dialog zu öffnen. Der im HSC angebotene Upgrade-Button führt dann nicht zum Upgrade, sondern startet den Code des Angreifers, der beispielsweise weitere EXE-Dateien nachlädt.
Microsoft empfiehlt allen betroffenen Anwendern, den Patch KB 840374 schnellstens zu installieren. Das Sicherheitsrisiko der Lücke ist jedoch nicht als kritisch, sondern nur als hoch eingestuft. Bereits der in MS04-011 beschriebene Patch beseitigte eine ähnliche Lücke im Hilfe- und Supportcenter. Nebenbei haben die Redmonder noch die Bulletins MS04-014 und MS01-52 aktualisiert.
Siehe dazu auch: (dab)
- Security Bulletin MS04-015 von Microsoft
