Abo
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Schwächen im MIME-Standard

Das britische Infrastructure Security Coordination Centre (NISCC) hat ein Advisory zu möglichen Schwachstellen in Produkten veröffentlicht, die Multipurpose Internet Mail Extensions (MIME) verarbeiten.

In Pocket speichern vorlesen Druckansicht 44 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

Das britische Infrastructure Security Coordination Centre (NISCC) hat ein Advisory zu möglichen Schwachstellen in Produkten veröffentlicht, die Multipurpose Internet Mail Extensions (MIME) verarbeiten können respektive müssen. Dazu gehören beispielsweise die Produktkategorien

  • E-Mail-Clients
  • Web-Browser
  • Virenscanner
  • Mail-content-Scanner
  • Web-Content-Scanner

MIME ist ein Kodierstandard, um Anhänge in Mails einzupacken und wird auch im HTTP-Protokoll zum Datentransport verwendet. Die RFC-Standards 2045 bis 2049 definieren, wie solche Daten kodiert, dekodiert und interpretiert werden müssen. Allerdings lässt der Standard offenbar an einigen Stellen die Vorgaben vermissen, sodass nicht alle Fälle behandelt werden. Hier müssen die Entwickler selbst entsprechend Vorsorge treffen. Sogar der RFC 2047 beschreibt die Möglichkeiten, mit Nicht-ASCII-Zeichen bestehende Mail-Systeme durcheinander zu bringen.

Falsch kodierte MIME-Nachrichten, ob absichtlich oder auf Grund eines Programmfehlers, sind so in der Lage, die genannten Applikationen in ihrer Funktion zu beeinträchtigen, unter Umständen sogar die Sicherheit des verarbeitenden Systems zu gefährden. Denkbar sind: Denial-of-Service-Attacken, Umgehung der Sicherheitsprüfungen von Scannern sowie das Einschleusen und Ausführen von Code.

Das NISCC listet im Advisory acht mögliche Angriffe durch manipulierte MIME-Daten auf. Mit einer vom Sicherheitsdienstleister Corsaire entwickelten speziellen Test-Suite hat man die MIME-Implementierung in Produkten der Hersteller Apple, IBM, F-Secure, MessageLabs, Fujitsu, Mozilla, Hewlett-Packard und ripMIME einer genaueren Prüfung unterzogen. Verwundbar zeigte sich nur ripMIME, die Schwachstelle ist mittlerweile beseitigt. Das NISCC stellt die Test-Suite auch anderen Herstellern für Schwachstellenanalysen zur Verfügung.

Auf dem russischen Sicherheitsportal security.nnov.ru steht eine erweiterte Liste möglicher Methoden bereit, um die Funktionen MIME-verarbeitender Applikationen auszuhebeln und Sicherheitsprüfungen zu umgehen.

Siehe dazu auch: (dab)

Spiele

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten