Neue Drag&Drop-Lücke im Internet Explorer
Durch einen Fehler in der Drag&Drop-Funktion des Browser lassen sich ausführbare Dateien in Ordnern speichern, um sie beim nächsten Start von Windows oder per Scheduler auszuführen. Der Angreifer ist aber auf die Interaktion seines Opfers angewiesen.
Fehleinschätzungen gibt jeder einmal ab, normalerweise sollte man daraus aber lernen, um sie künftig zu vermeiden – zumindest wenn es sich um den gleichen Sachverhalt handelt. Mit der Beurteilung des Risikos einer neuen Lücke im Internet Explorer scheint Microsoft aber wieder einmal daneben zu liegen, weshalb ein Patch zum Schließen dieser Lücke bei Windows XP erst in Service Pack 3 und bei Windows Server 2003 erst in Service Pack 2 enthalten sein soll. Für Windows 2000 soll gar kein Patch erscheinen. Bei der Lücke handelt es sich um einen Fehler in der Drag&Drop-Funktion des Browsers aus Redmond, mit dem sich beliebige ausführbare Dateien in Ordnern speichern lassen, um sie beim nächsten Start von Windows oder per Scheduler auszuführen.
Wie der Name der Funktion schon vermuten lässt, ist einiges an Benutzerinteraktion notwendig: Der Anwender muss ein Objekt nehmen und irgendwo fallenlassen. Zwar liegt das Risiko des Anwenders, sein System mit Schadcode zu infizieren, erheblich unter dem der WMF-Lücke, bei der bereits der Aufruf einer Webseite genügte, aber schon bei der Drag&Drop-Lücke im August 2004 musste Microsoft nach der ersten Fehleinschätzung schneller als gewollt reagieren. Damals erschien dem Softwarekonzern das Angriffsszenario arg konstruiert: "Given the significant amount of user action required to execute an attack, Microsoft does not consider this to be a high risk for customers."
Allerdings tauchten kurz darauf die ersten Webseiten auf, die versuchten, Anwender mit Drag&Drop-Spielchen auszutricksen, woraufhin Microsoft das Risiko auf "Important" hochstufte und doch ein Update herausgab. Im vorliegenden Falle scheint es aber noch keine Webseiten zu geben, die die Lücke ausnutzen. Microsoft wurde bereits im August 2005 über den Fehler informiert.
Der Entdecker der Schwachstelle, Matthew Murphy, beschreibt drei Workarounds, um sich vor möglichen Angriffen zu schützen. Die einfachste Lösung ist, JavaScript abzuschalten, dann funktionieren aber nicht mehr alle Webseiten. Workaround Nummer zwei beschränkt den Zugriff von Webseiten auf die lokale Zone, was aber erst ab Windows XP mit Service Pack 2 und Windows Server 2003 SP1 möglich ist. Lösung drei setzt ein so genanntes Kill-Bit auf das Shell.Explorer-Control, sodass es nicht mehr aus dem Browser heraus aufgerufen werden kann und lokale Ordner nicht mehr angezeigt werden. Damit kann der Anwender ein aufgenommenes Objekt (Drag) auch nicht mehr in einem lokalen Verzeichnis fallenlassen (Drop).
Siehe dazu auch: (dab)
- Microsoft Internet Explorer Drag-and-Drop Redeux, Fehlerreport von Matthew Murphy
- Information on IE Drag and Drop Issue , Eintrag im Microsoft Security Response Center Blog
