Sicherheitsupdates von Microsoft lassen weiterhin Lücken offen
Die aktuellen Patches für den Internet Explorer und den Windows Media Player lassen immer noch Sicherheitslücken offen, die das Ausführen von beliebigem Code ermöglichen.
Auf den Sicherheitsmailinglisten Full Disclosure und Bugtraq bestätigen diverse Postings, dass ein Mitte September veröffentlichter Proof-of-Concept-Exploit zum Angriff auf den Internet Explorer unter Windows XP immer noch funktioniert. Dabei wird ein Fehler bei der Behandlung von ADODB.Stream-Objekten ausgenutzt, mit denen aus HTML-Dokumenten der Zugriff auf die Festplatte möglich ist. Für diesen Fehler hat Microsoft bisher keinen Patch veröffentlicht, das letzte Sicherheitsupdate MS03-040 beseitigte nur einen Fehler bei der Behandlung von Object-Data-Tags, mit denen ebenfalls beliebiger Code auf die Festplatte geschrieben und ausgeführt werden kann.
Um einen erfolgreichen Angriff zu starten, greift der ADODB.Stream-Exploit auf den Windows Media Player zu, den man als Medienleiste im Internet Explorer öffnen kann. Der Trick besteht nun darin, in der Medienleiste eine Fehlerseite zu generieren, wie etwa "Die Seite kann nicht angezeigt werden". Da diese Fehlermeldung vom lokalen System stammt, ordnet sie das IE-Zonenmodell als "lokal" ein, --damit darf sie auch auf das lokale Dateisystem zugreifen. Der Exploit injiziert nun unter Verwendung der genannten Schwachstelle eigenen Code in diese Seite und führt ihn mit den Rechten des angemeldeten Benutzers aus. Für einen erfolgreichen Angriff muss ein Opfer allerdings eine entsprechend manipulierte HTML-Seite aufrufen und mit Administratorrechten angemeldet sein.
Die jetzt neu veröffentlichten Exploits basieren alle auf dem alten Exploit-Code und überschreiben zur Demonstration die Datei "wmplayer.exe", also den Window Media Player selbst. Die Demos funktionieren derzeit nur bei englischen Windows XPs und Windows Media Player 8.0 oder 9.0.
Als Workaround für diese Sicherheitslücke sollte man die Medienleiste im Internet Explorer abschalten. Dazu aktiviert man unter "Extras/Internetoptionen/Erweitert -> Multimedia/" die Option "Keine Onlinenmedieninhalte in der Medienleiste anzeigen". Zusätzlich empfiehlt es sich, ActiveX abzuschalten. Aufgrund weiterer 30 ungepatchter Sicherheitslücken im Internet Explorer sollten Anwender den Einsatz alternativer Browser in Erwägung ziehen.
Siehe dazu auch: (dab)
- Fehler im ADODB.Stream Object
- Internet explorer 6 on windows XP allows exection of arbitrary code auf Full Disclosure
- IE 6 XML Patch Bypass auf Bugtraq
