Voransicht des Windows Explorer führt eingeschleusten Code aus

Die Sicherheitsspezialisten von GreyMagic haben eine Schwachstelle im Windows Explorer unter Windows 2000 entdeckt, mit der Angreifer über präparierte Dateien eigenen Code auf dem System eines Opfers ausführen können. Dazu muss die Datei selbst nicht ausführbar sein, sie muss auch keinen Buffer Overflow ausnutzen. Auch ist es nicht erforderlich, sie mit einer Anwendung zu öffnen. Es genügt die Voranschau im Windows Explorer, sofern dieser für die Darstellung im Web-Mode konfiguriert ist.

Der Trick besteht darin, JavaScript-Code in die Metadaten einer Datei zu schreiben, der bei der Voransicht mit den Rechten der lokalen Zone und des Anwenders ausgeführt wird. Schreibt man etwa in das Autoren-Feld der Eigenschaften (Dateiinfo) einer .doc-Datei folgende Zeile

a@b' style='background-image:url(javascript:
alert("Successful injection!"))' 

so führt der Windows Explorer den Code aus, statt ihn anzuzeigen. Nach Angaben von GreyMagic kann ein Skript all das tun, was der angemeldete Nutzer auch tun kann. Zur Demonstration sind im veröffentlichten Advisory drei .doc-Dateien verlinkt, die die Schwachstelle veranschaulichen. Präparierte Dateien können beispielsweise per Mail auf das System gelangen. Der Angriff funktioniert auch mit Dateien, die auf Netzlaufwerken gespeichert sind.

Ursache des Problems ist die Web-View-Bibliothek webvw.dll des Windows Explorers, die Metadaten nicht richtig filtert. Betroffen sind alle Windows-2000-Versionen bis einschließlich Service Pack 4. Windows XP ist nicht betroffen. Ein Patch ist nicht verfügbar, als Workaround genügt es, von der Webansicht auf die klassische Darstellung (unter Ordneroptionen) ohne Voransicht umzustellen.

Siehe dazu auch: (dab)

• File Selection May Lead to Command Execution, Fehlerreport von GreyMagic