Sicherheitslücke im Internet Explorer ermöglicht Ausführung beliebiger Programme
Aviv Raff hat eine Sicherheitslücke im Internet Explorer entdeckt, durch die Angreifer beliebige Programme auf dem Rechner ausführen können. Anwender müssen jedoch mithelfen.
- Dirk Knop
Angreifer können über manipulierte Webseiten beliebige Programme auf Rechnern von Nutzern des Internet Explorer aufrufen, hat Aviv Raff entdeckt. Die Schwachstelle beruht auf einer sogenannten Cross-Zone-Lücke, durch die Webseiten Code anstatt in der Internet-Zone in der lokalen Zone ausführen können – Anwender müssen dazu jedoch mithelfen.
Raff hat eine Beispielseite erstellt, die die Lücke demonstriert. Die Webseite ruft den Windows-Rechner auf, wenn der Anwender sie ausdruckt und dabei die Option "Liste der Links ausdrucken" anwählt. Dabei ist es unerheblich, ob man die Ausführung aktiver Inhalte zulässt, vor der der IE warnt. heise Security konnte das Verhalten mit einem Windows XP SP2 auf aktuellem Patch-Stand und einem Internet Explorer 7 nachvollziehen.
Wenn ein Anwender eine Seite mit dem IE ausdruckt, nutzt der Browser ein lokales Skript, das eine neue HTML-Datei erzeugt, die anschließend gedruckt wird, erläutert Raff die Lücke. Das HTML enthält die Kopfzeile, die Webseite als Hauptelement, eine Fußzeile – und, sofern man das aktiviert hat, eine Liste der Links in der Webseite. Das Skript überprüft die URLs in den Links jedoch nicht, sondern fügt sie der neuen HTML-Datei in der vorliegenden Form ungefiltert hinzu.
Die meisten lokalen Skripte laufen im Internet Explorer in der Internetzone, schreibt Raff weiter, allerdings läuft das Skript zum Ausdrucken in der lokalen Zone, wodurch das Sicherheitsleck aufgerissen wird und ein untergeschobenes JavaScript beliebigen Code auf dem Rechner des Anwenders ausführen kann.
Durch das Einbetten manipulierter Links in eine Webseite und mit etwas Social Engineering, damit die Besucher die Seite mit Link-Tabelle ausdrucken, können Angreifer daher Anwendern beliebigen Code unterschieben. Laut Raff ist nicht nur der IE 7 betroffen, sondern auch die Beta-Version des IE 8.
Unter Windows XP ermöglicht die Lücke, Code auszuführen, unter Windows Vista mit aktivierter Benutzerkontensteuerung (UAC) soll Raff zufolge nur das Ausspähen von Informationen möglich sein. Möglicherweise enthalten auch ältere Versionen den Fehler. Anwender sollten bis zur Bereitstellung eines Patches von Microsoft auf das Ausdrucken von Webseiten mit Link-Liste verzichten.
Siehe dazu auch:
- Internet Explorer "Print Table of Links" Cross-Zone Scripting Vulnerability, Demonstration der Schwachstelle im milw0rm-Archiv
(dmk)
