Drag&Drop-Schwachstelle im Internet Explorer wird bereits ausgenutzt

Die vergangene Woche von http-equiv bereitgestellte Demonstration der Drag&Drop-Schwachstelle des Internet Explorer war noch eine Baustelle: Sie lief relativ wackelig und offenbarte beispielsweise beim Rechtsklick auf die Dropzone (zwischen den roten Linien) den darunterliegenden Autostart-Ordner. Durch die notwendige Benutzerinteraktion des Ziehens und Fallenlassens eines dargestellten Objektes war die Tragweite des Problems zunächst schwer einzuschätzen. Auch Microsoft erschien das Problem eher konstruiert; der Konzern schätzte das Risiko als gering ein: "Given the significant amount of user action required to execute an attack, Microsoft does not consider this to be a high risk for customers."

Nach Angaben des Internet Storm Centers scheinen aber erste Webseiten die Lücke bereits auszunutzen, um Anwendern Dateien unterzujubeln, die beim Neustart ausgeführt werden. Zudem ist auf Bugtraq der Link zu einer Web-Demo erschienen, der man verdächtige Manipulationen nicht ansieht. Hier genügt es, den rechten Scroll-Balken mit dem Cursor nach unten zu verschieben, um die Datei booom[1].exe in den Autostart-Ordner geschoben zu bekommen. Der Trick besteht nach Angaben des Autors der Seite darin, die Dropzone als 5x5 Pixel-Feld zu definieren und dem Cursor folgen zu lassen. Zwar ist auch hier eine Benutzerinteraktion erforderlich, aber das Ziehen des Scrollbars, um an das Ende einer Webseite zu gelangen, ist wohl keine als besonders unüblich erscheinende Aktion.

Die neue Demonstration funktioniert sowohl unter Windows XP SP1 als auch mit SP2 und verwendet JavaScript. Der Autor gibt zwar an, dass zum Beheben des Problems unter SP2 das Deaktivieren der neuen Option "Binär- und Skriptverhalten" ausreichen würde, Tests in der heise-Security-Redaktion bestätigten dies aber nicht. Abhilfe schafft derzeit nur das Abschalten von ActiveScripting oder das Benutzen eines alternativen Browsers.

Siehe dazu auch: (dab)

• What A Drag! -revisited von mikx