Open-Source-Entwickler beseitigen Fehler im Internet Explorer [Update]
Die Open-Source- und Freeware-Entwicklungsseite Openwares.org stellt einen Patch zum Download zur Verfügung, der die URL-Spoofing-Lücke im Internet Explorer schließt.
Die Open-Source- und Freeware-Entwicklungsseite Openwares.org hat einen Patch zum Download zur Verfügung gestellt, der die URL-Spoofing-Lücke im Internet Explorer schließt. Mit der Lücke ist es Angreifern mittels manipulierter Webseiten möglich, Anwendern des Internet Explorers gefälschte URLS unterzuschieben. Durch das Einfügen besonderer Zeichenketten ("%00", "%01") zeigt der Internet Explorer nur einen Teil der echten URL in der Adressleiste und in der Statusleiste an. Statt http://www.microsoft.com%01@www.heisec.de sieht der Anwender nur http://www.microsoft.com, obwohl er auf heise Security gelandet ist. Erste manipulierte Webseiten sind bereits aufgetaucht.
Microsoft hat bislang keinen eigenen Patch zur Verfügung gestellt. Am vergangenen Patch-Day, der zweite Mittwoch eines Monats, veröffentlichte Microsoft jedenfalls kein einziges neues Update. Stattdessen verwiesen die Redmonder auf einen Knowledge-Base-Artikel, in dem unter anderem als Workaround ein aus fast 200 Zeichen bestehendes Skript zum Eintippen in die Adressleiste empfohlen wird. Dass nun gerade die Open-Source-Gemeinde einen einfach zu installierenden Patch bereitstellt, dürfte Microsoft nicht besonders erfreuen.
Der Patch von Openwares.org steht als ausführbare Datei und als Quellcode zur Verfügung. Nach der Installation warnt eine HTML-Seite "Protected by IE Exploit Patch" im Browser beim Anklicken manipulierter URLs vor unliebsamen Überraschungen. Ob der Patch im Browser wirksam ist, können Anwender mit dem c't-Browsercheck überprüfen.
[Update] Der Openwares-Patch für den Internet Explorer baut größere Löcher ein, als er beseitigt. Ein Blick der heise-Security-Redaktion auf den Quell-Code ließ nichts Gutes erahnen: Ein Puffer zum Kopieren von URLs ist auf 256 Bytes begrenzt. Längere URLs provozieren einen Buffer Overflow, mit dem sich der Stack des Systems überschreiben lässt. Erste Tests bestätigten die Vermutung. URLs mit 500 Zeichen brachten den Internet Explorer zum Absturz, prinzipiell kann ein Angreifer damit aber auch eigenen Code in das System einschleusen und ausführen, um das System unter seine Kontrolle zu bringen. Ein Test zum Überprüfen der Sicherheitslücke steht auf den Seiten des c't-Browserchecks zu Verfügung:
- Test des Openwares-Patches heise Security
Die Installation des Patches ist also auf keinen Fall empfehlenswert. Anwender die den Patch bereits eingespielt haben, sollten diesen unter Einstellungen/Systemssteuerung/Software wieder deinstallieren.
Des Weiteren sendet der Patch angeklickte manipulierte Links an ein Skript auf Openwares.org. Welchen Zweck die Betreiber der Seite damit verfolgen, ist noch unklar.
Siehe dazu auch: (dab)
- Patch für URL-Fehler im IE auf Openwares.org
- Microsoft nennt Workarounds zum URL-Spoofing auf heise Security
