Microsoft bestätigt neue Lücke im Internet Explorer [Update]

Die Lücke ermöglicht es einer präparierten Webseite, auf beliebige Dateien auf dem PC zuzugreifen und deren Inhalte auszulesen.

In Pocket speichern vorlesen Druckansicht 327 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Daniel Bachfeld

Microsoft hat die am Dienstag offiziell auf der Sicherheitskonferenz Black Hat DC vorgeführte Sicherheitslücke bestätigt und eine eigene Warnung veröffentlicht. Die Lücke ermöglicht es einer präparierten Webseite, auf beliebige Dateien auf dem PC zuzugreifen und deren Inhalte auszulesen. Dazu muss der Angreifer zwar den konkreten Pfad und den Dateinamen wissen, bei den üblichen Standardinstallationspfaden sind die aber meist bekannt.

Grundsätzlich sind alle Versionen des Internet Explorer von 5.01 bis 8 auf allen noch unterstützten Windows-Plattformen betroffen. Die Lücke lässt sich im Internet Explorer 7 und 8 unter Windows 7, Vista und Server 2003/2008 nicht ausnutzen, wenn im Webbrowser der geschützte Modus (Protected Mode) aktiviert ist – standardmäßig ist er das.

Microsoft untersucht nach eigenen Angaben, wie es das Problem lösen kann. Allerdings ist es wohl nicht so einfach zu lösen, wie der Entdecker der Lücke Jorge Luis Alvarez Medina von Core Security Technologies bereits mehrfach unterstrich. Kern des Problems ist, dass die Einstellungen der Sicherheitszonen im Internet Explorer nicht immer greifen, wenn eine Pfadangabe im Browser im UNC-Format (Uniform Naming Convention, UNC) angegeben ist, beispielsweise file://127.0.0.1/C$/.../index.dat. Damit kann ein JavaScript aus der Internet Zone unter bestimmten Umständen auf eine lokal abgelegte Datei zugreifen (und sie rendern), obwohl das Zonenmodell dies verbietet.

Core Security hat zwei solcher sogenannten Cross-Domain-Schwachstellen bereits 2008 und 2009 an Microsoft gemeldet, die dafür auch jeweils Updates bereitgestellt haben. Bislang hat Microsoft immer nur an einer Stelle geflickt, ohne jedoch das eigentliche Problem zu behandeln. In der Folge hat nun Medina einen weiteren Weg gefunden, lokale Dateien auszulesen. Dabei macht er sich einen Fehler bei der Ermittlung des MIME-Types von lokalen Dateien sowie eine Schwäche beim Verarbeiten von OBJECT-Tags zunutze, um die von Microsoft aufgebauten Hürden zu überwinden.

Bis zur Verfügbarkeit einer echten Lösung bietet Microsoft ein Fix-it-Tool zum Download an, mit dem der Internet Explorer das file-Protokoll nicht mehr unterstützt. In der Folge könnten aber Probleme mit anderen Anwendungen auftreten. Update: Anwender von Windows XP Home sind von dem Problem vermutlich nicht betroffen, da es dort keine versteckte administrative Freigabe C$ gibt, auf die eine Webseite zugreifen könnte.

Siehe dazu auch:

(dab)