Trillian führt eingeschleusten Code aus
Trillian filtert URIs nicht richtig, was zu einem Buffer Overflow führen kann. Darüber soll sich Code einschleusen und ausführen lassen. Ein ähnliches Cross-Application-Scripting-Problem fand sich kürzlich schon im Firefox.
- Daniel Bachfeld
Dass das Aufrufen anderer Anwendungen aus einem Browser heraus zu Sicherheitsproblemen führen kann, zeigte kürzlich der Firefox-Internet-Explorer-Fall, bei dem sich Befehle auf dem Rechner ausführen ließen. Die Autoren der dazugehörigen "Cross Application Scripting"-Demo haben nun nachgelegt und ein ähnliches Problem im Messaging-Client Trillian dokumentiert. Trillian registriert bei der Installation die URI aim:// (AOL Instant Messenger), damit ein Browser bei einem Klick auf einen aim-Link den Client starten kann. Allerdings filtert Trillian die dabei übergebenen Daten nicht richtig, sodass etwa eine präparierte URI zu einem Buffer Overflow in der Datei aim.dll führen kann. Darüber soll sich Code einschleusen und mit den Rechten des Anwenders ausführen lassen. Die öffentliche Demo führt allerdings nur zum Absturz der Anwendung.
Zudem lässt sich mit einer präparierten URI beispielsweise eine Batch-Datei in den Autostartordner von Windows schreiben, die beim nächsten Start ausgeführt wird. Die öffentliche Demo legt eine Datei in den Startordner, die den Taschenrechner startet. Die Demo läuft aufgrund der Pfadangaben aber nur auf englischen-sprachigen Systemen. Gefunden wurden die Fehler in Trillian Basic 3.1.6.0, wahrscheinlich sind andere Versionen ebenfalls betroffen. Eine neue Version gibt es noch nicht, Abhilfe schafft derzeit nur, die URI zu deregistrieren. Laut US-CERT reicht es, dazu den Schlüssel HKEY_CLASSES_ROOT\AOL zu löschen.
Die Autoren der Demo weisen darauf hin, dass es noch viele weitere Beispiele für derartige Lücken über registrierte URIs gäbe. Derzeit sei nur die Spitze des Eisberge zu sehen. Registrierte URIs seien so etwas wie ein Remote Gateway in den eigenen Rechner. Anwender sollten nach Meinung der Autoren sicherheitshalber alle unnötigen URIs deregistrieren – ohne allerdings darauf einzugehen, welche nun überflüssig sind.
Bei der Suche danach soll das Windows-Scripting-Host-Tool "Dump URL Handlers" helfen, dass die Registry durchforstet und alle registrierte URIs nebst zugehöriger Anwendung anzeigt.
Siehe dazu auch:
- Cross Application Scripting Demo / URI Vulnerabilities Demo (Trillian 0-day), Fehlerbericht von Nate Mcfeters, Billy (BK) Rios und Raghav "the Pope" Dub
- Lücke durch parallele Installation von Firefox 2 und Internet Explorer, Meldung auf heise Security
(dab)
