Inoffizieller Patch für Windows-URI-Problem
Nachdem Microsoft über Monate hinweg keinen Patch lieferte, greifen Anwender zur Selbsthlife. Ein inoffizieller, weitgehend ungetesteter Patch soll in die Bresche springen. Immerhin kommt er komplett mit Quellcode und unter Open-Source-Lizenz.
Über zwei Monate sind vergangen, seit dem die kritische URI-Lücke in Windows bekannt wurde – Microsoft hat aber bislang immer noch keinen Patch bereitgestellt. Immer mehr Anwender greifen daher zur Selbsthilfe und versuchen, ihre Systeme mit diversen Workarounds abzudichten. Das seltsame Verhalten von Windows XP mit installiertem Internet Explorer 7 kann dazu führen, dass das Öffnen einer Datei in einer Anwendung den Rechner mit Schadsoftware infiziert. Die Entwickler von Firefox und Skype haben Vorkehrungen getroffen, dies zu verhindern, andere wie Adobe Reader, Outlook Express/2000, Miranda und mIRC sind nach wie vor anfällig.
Jetzt hat ein Hacker mit dem Pseudonym KJK::Hyperion sogar einen provisorischen und natürlich höchst inoffiziellen Patch veröffentlicht. Dieser klinkt sich in die Verarbeitung der anfälligen Windows-Funktion ShellExecute() ein und versucht, die Aufrufparameter vor der Bearbeitung durch Windows zu bereinigen. Doch selbst der Entwickler warnt: "Der aktuelle Patch ist nahezu ungetestet und wurde keinerlei Qualitätskontrolle unterzogen ..."
Es ist also nicht zu empfehlen, diesen Patch auf Produktionssystemen zu installieren. Immerhin stellt KJK::Hyperion seinen Workaround nicht nur als installationsfertige DLL-Bibliothek, sondern auch als Quelltext unter einer Open-Source-Lizenz zur Verfügung. Somit können andere diesen Code evaluieren und unter Umständen verbessern.
Wann Microsoft eine richtige Lösung für das Problem bereitstellt, steht nach wie vor in den Sternen. Über Monate hinweg hatten die Redmonder alle Nachfragen in diese Richtung abgewimmelt. Erst vor einer Woche, nachdem Secunia nachgewiesen hatte, dass auch Outlook Express/2000 als Einfallsvektor für Angriffe genutzt werden könnte, bestätigte Microsoft überhaupt die Existenz eines Problems in Windows XP. Der Fehler soll laut einem Blog-Eintrag des Microsoft Security Response Centers durch ein Update des Codes in ShellExecute() erfolgen. Doch der nächste reguläre Termin für ein solches Update wäre erst der Patchday Mitte November; und für ein Update außer der Reihe gibt es bislang keine Anzeichen.
Siehe dazu auch:
- Microsoft will URI-Lücke in Windows patchen auf heise Security
(ju)
