Firefox und Internet Explorer 7 vertragen sich immer noch nicht [Update]
Eine neue Demo zeigt wie Firefox unter Windows XP SP2 über präparierte Links zum Starten einer Anwendung missbraucht werden kann. Damit dies funktioniert, muss der Internet Explorer 7 installiert sein.
- Daniel Bachfeld
Das Hickhack zwischen Microsoft und der Mozilla-Foundation um registrierte Protokoll-Handler und die daraus resultierenden Sicherheitsprobleme geht weiter. So wurde eine neue Demo veröffentlicht, die zeigt, wie die aktuelle Firefox-Version unter Windows XP SP2 über präparierte Links zum Starten einer Anwendung missbraucht werden kann. Dabei öffnet sich beim Klick auf einen manipulierten mailto:-, nntp:-, snews:- oder news-Link die Eingabeaufforderung und der Windows-Taschenrechner startet. Prinzipiell ließe sich so jeder beliebige Befehl ausführen und Code über eine Webseite einschleusen und starten.
Damit die neue Demo funktioniert, muss allerdings der Internet Explorer 7 installiert sein. Ist nur der Internet Explorer 6 installiert, öffnet sich nur der Standard-Mailclient Outlook Express. Welche Rolle der Internet Explorer 7 dabei spielt, ist nicht ganz klar. Nach seiner Installation ändert sich jedoch offenbar die Art, wie Windows eine URI verarbeitet. Das zeigt sich auch daran, was pssiert, wenn man den "bösen" Link über "Ausführen" im Startmenü direkt an die Windows Shell übergibt. Mit IE6 startet Outlook Express, mit IE7 cmd.exe und der Taschenrechner.
Dem dazugehörigen Bugzilla-Eintrag zufolge ist ein Grund für die neue Lücke, dass Windows XP URIs mit der Zeichenfolge %00 falsch interpretiert. In der Folge wird statt des URL-Protokoll-Handlers der Filetype-Handler mit der kompletten URL aufgerufen, worüber es dann offenbar möglich ist, weitere Programme mit eigenen Argumenten aufzurufen. Um das Problem zu entschärfen, wollen die Firefox-Entwickler nun Links mit Nullbytes (%00) nicht mehr öffnen. Ein enstprechender Patch ist bereits in die Entwicklerversion eingepflegt. Einen praktikablen Workaround bis zum Erscheinen eines neuen offizellen Firefox-Release gibt es nicht.
Auch bei dieser Lücke dürfte die Schuldfrage wieder für heiße Diskussionen sorgen. Bei der letzten Cross-Browser-Lücke reichte der Internet Explorer präparierte URLs an Firefox weiter. Damals wies das IE-Team alle Verantwortung von sich und konstatierte: Es ist die Verantwortung der empfangenden (aufgerufenen) Applikation, sicher zu stellen, dass sie die übergebenen Parameter korrekt behandeln kann. Dem zu Folge wäre nun eigentlich weniger Mozilla als Microsoft unter Zugzwang, das gefährliche Verhalten abzustellen.
Die Autoren der Demo weisen darauf hin, dass es noch viele weitere Beispiele für derartige Lücken über registrierte URIs gäbe. Derzeit sei nur die Spitze des Eisberge zu sehen. Registrierte URIs seien so etwas wie ein Remote Gateway in den eigenen Rechner. Anwender sollten nach Meinung der Autoren sicherheitshalber alle unnötigen URIs deregistrieren – ohne allerdings darauf einzugehen, welche nun überflüssig sind.
Bei der Suche danach soll das Windows-Scripting-Host-Tool "Dump URL Handlers" helfen, das die Registry durchforstet und alle registrierte URIs nebst zugehöriger Anwendung anzeigt. Auch die Autoren der Exploits haben das Tool nach Angaben des Programmierers für ihre Fehlersuche verwendet.
Update:
Die Firefox-Erweiterung NoScript filtert in der aktuellen Version auch URLs, die an Handler übergeben werden. Damit funktionieren zwar beispielsweise normale mailto:-URLs noch, bei den Demo-Exploits öffnet sich hingegen nur ein leeres Fenster.
Siehe dazu auch:
- Remote Command Exec (FireFox 2.0.0.5 et al), Bericht von Billy (BK) Rios
- Some schemes with %00 launch unexpected handlers on windows, Bugzillaeintrag zum Problem
- LĂĽcke durch parallele Installation von Firefox 2 und Internet Explorer, Meldung auf heise Security
(dab)
