Webseiten infizieren PCs über Lücke in Windows-Speech-API
Eine der am letzten Patchday bekannt gewordenen Sicherheitslücken im Internet Explorer 6 und 7 wird nach Angaben von Symantec bereits aktiv ausgenutzt, um Besucher von Webseiten mit Schädlingen zu infizieren.
- Daniel Bachfeld
Eine der am letzten Patchday bekannt gewordenen Sicherheitslücken im Internet Explorer 6 und 7 wird nach Angaben von Symantec bereits aktiv ausgenutzt, um Besucher von Webseiten mit Schädlingen zu infizieren. Dabei handelt es sich um eine Lücke in der Speech-API, die unter anderem der Internet Explorer zur Sprachausgabe verwendet. Zwei dazu erforderliche ActiveX-Controls XVoice.dll und XListen.dll reagieren auf präparierte Daten mit Pufferüberläufen, über die sich das Structured Exception Handling soweit manipulieren lässt, dass eingeschleuster Code ausgeführt wird.
Zwar sind zwei Exploits für den Internet Explorer 6 unter Windows 2000 SP4 und XP SP2 bereits seit fast zwei Wochen öffentlicht verfügbar, bis dato waren aber noch keine Webseiten bekannt, die die Lücke missbrauchten. Während die Demo-Exploits nur ein zusätzliches Nutzerkonto (User: sun, Passwort: tzu) anlegen sollen, wird bei den Attacken der Webseiten laut Symantec Shell-Code eingeschleust, der offenbar weitere Programme installiert. Wieviel Anwender betroffen sind, schreibt Symantec nicht. Derzeit scheint es sich aber noch um einen begrenzten Angriff zu handeln.
Anwender von Windows XP SP2 sollten die Updates bereits automatisch erhalten haben, Nutzer von Windows 2000 SP4 müssen sich die Patches per Hand herunterladen und installieren oder Windows Update aufrufen, um sich zu schützen.
Grundsätzlich ist auch der Internet Explorer 7 von dem Problem betroffen, ob die verfügbaren Exploits dort funktionieren, müssen weitere Tests zeigen. Immerhin stuft Microsoft die Lücke selbst unter Vista als "Kritisch" ein, da dort ebenfalls "Remote Code Execution" möglich sein soll. Im Vergleich dazu wird etwa bei Windows Server 2003 das Problem nur als "Mittel" eingestuft. Demnach würden die zahlreichen neuen Sicherheitsfunktionen von Vista die Infektion beim Besuch einer präparierten Seite nur schwer verhindern können.
Seit dem Erscheinen von Vista vor knapp sechs Monaten hat Microsoft sieben kritische Lücken (MS07-010, MS07-017, MS07-021, MS07-027, MS07-033, MS07-034 (2x)) gestopft, die nach Einschätzung der Redmonder alle das Ausführen von Schadcode ermöglichten. Meist genügte dabei allein der Besuch einer manipulierten Webseite oder Empfang einer Mail, um die Lücke auszunutzen. Vergangene Woche behauptete der Security Strategy Director für Microsofts Trustworthy Computing Group Jeff Jones noch in einer eigenen Analyse, dass Vista in den ersten sechs Monaten sicherer als viele Linux-Distributionen und Mac OS X sei, da es weniger Patches für bekannte Lücken gebe. Ob allerdings die Anzahl der veröffentlichten Patches als alleinige Kennzahl für Sicherheit gelten sollte, darf man stark bezweifeln.
Siehe dazu auch:
- DeepSight HoneyNet Detects Obfuscated Attacks for MS07-033 and Xunlei WebThunder, Meldung von Symantec
- Studie: Vista sicherer als Linux und Mac OS X - am Anfang , Meldung auf heise Security
(dab)
