Gefahr durch Realplayer-Plug-In [Update]

Die Sicherheitsspezialisten von Symantec warnen in ihrem Weblog vor einem bislang unbekannten Sicherheitsloch im Realplayer, das bereits aktiv ausgenutzt wird. Es betrifft das ActiveX-Control ierpplug.dll der aktuellen Version des Realplayers einschließlich der Beta für Version 11. Gefährdet sind somit Windows-Anwender, die die Kombination Internet Explorer mit Realplayer-Plugin verwenden.

Die von Symantec entdeckte, bösartige Web-Seite nutzt das Sicherheitsleck unter anderem, um aus dem Netz einen bekannten Trojaner namens Zonebac nachzuladen, der die Sicherheitseinstellungen des Internet Explorer herabsetzt. Der Schadcode stammt von einem offenbar kompromittierten Anzeigen-Server, der Anzeigen mit einem IFrame auslieferte, der seinerseits auf den eigentlichen Schadcode weiterleitete.

Das Sicherheitsloch beruht auf einem Programmierfehler, der einen Pufferüberlauf ermöglicht. Erst vor wenigen Monaten wurde ein ähnlicher Fehler im RealPlayer aufgedeckt. Russ Ryan, General Manager of Product Development für RealPlayer, erklärt in einem Blog-Eintrag, man habe bereits einen Patch gegen das Problem, der demnächst auf den Sicherheitsseiten von Real veröffentlicht werden soll.

Die Sicherheitsspezialisten in Gelb empfehlen bis dahin, zum Schutz das Killbit für das ActiveX-Control mit dem Class Identifier (CLSID) FDC7A535-4070-4B92-A0EA-D9994BCC0DC5 zu setzen, was den Aufruf des Controls aus dem Internet Explorer heraus verhindert. Microsoft beschreibt die dazu notwendigen Schritte hier. Des weiteren sei sicherzustellen, dass Outlook Express entweder Nachrichten nicht als HTML anzeige oder dies zumindest wie voreingestellt in der eingeschränkten Zone tut (der c't-Emailcheck hilft Ihnen bei der Konfiguration Ihres Mail-Programms). Da die gefährlichen Seiten JavaScript einsetzen, um die Schwachstelle auszunutzen, reduziert das Abschalten von Active Scripting im Internet Explorer das Risiko ebenfalls. Was Symantec nicht erwähnt: Alternative Browser und Mail-Prgramme wie Firefox und Thunderbird setzen generell kein ActiveX ein und sind somit nicht betroffen.

Update:
Ein Patch von Real Networks wurde veröffentlicht. Beim Anwählen des dort angegebenen Links öffnet sich zwar der Realplayer, und er lädt auch tatsächlich etwas herunter. Eine Meldung, was konkret passiert, ob das Update erfolgreich war und man tatsächlich geschützt ist, erfolgt dabei jedoch nicht.

Die verwundbare Bibliothek ierpplug.dll änderte sich bei Tests von heise Security jedenfalls nicht (Version 1.0.1.2783 mit einer digitalen Signatur vom 20. Juli 2007). Das Killbit war nach dem Update ebenfalls nicht gesetzt und Internet Explorer bestätigte auch nach wie vor, dass er diese DLL verwendet. Ob Real eventuell irgendeinen Workaround implementiert hat oder ob das Update aus irgendwelchen Gründen fehlschlägt, war in der zur Verfügung stehenden Zeit nicht festzustellen. Wer die Möglichkeit hat, sollte vorsichtshalber trotzdem das Killbit setzen oder zumindest das ActiveX-Control im Internet Explorer unter "Extras/Internetoption/Programme/Add-Ons verwalten" deaktivieren.

2. Update:
Dem US-CERT zufolge, erfolgt der Pufferüberlauf in der Datenbankkomponente in MPAMedia.dll. Diese Bibliothek wird beim Ausführen des Patches von Real auch tatsächlich modifiziert. (ju)