Seite 3: Reaktionen

Inhaltsverzeichnis

Reaktionen

Das Microsoft Security Response Center bestätigte auf Anfrage von heise Security, dass das geschilderte Verhalten des Internet Explorer so beabsichtigt sei und man nicht plane, es zu ändern. Über die Motive für den eigenwilligen Umgang mit NUL-Zeichen kann man nur spekulieren. Es mag sein, dass man in Redmond auf diesem Weg versucht, Problemen mit falsch konfigurierten Servern aus dem Weg zu gehen, die Unicode-Seiten ausliefern, ohne den korrekten Zeichensatz zu übermitteln. Warum man dabei selbst 4097 NUL-Zeichen am Stück ignoriert, ist jedoch nicht nachvollziehbar

Das ungewöhnliche Verhalten des Internet Explorer stellt jedoch kein direktes Sicherheitsproblem in dem Sinne dar, dass man damit allein einem System Schaden zufügen könnte. Es lässt sich allerdings durchaus ausnutzen, um Sicherheitsvorkehrungen so zu umgehen, dass man ein davon völlig unabhängiges Sicherheitsproblem ausnutzen kann.

Da bereits 2004 Berend-Jan Wever seinen HTML-Exploit für die IFrame-Lücke des IE in UTF-16-Kodierung veröffentlichte, muss man davon ausgehen, dass der Trick mit den Nullen in eingeweihten Kreisen bereits seit längerem bekannt ist und unter Umständen auch bereits aktiv ausgenutzt wird. Seit mindestens einem Jahr weist Andreas Marx von AV-Test die Hersteller von Antiviren- und Sicherheits-Software auf diese Lücke in ihren Produkten hin. Trotzdem hielt es bislang offenbar kaum einer für nötig, seine Erkennungsroutinen dem Verhalten des IE anzupassen. Dass es auch anders geht, zeigt der Hersteller von Webwasher, der bestätigte, dass man die Konvertierung in Leerzeichen nach der Benachrichtung durch Marx eingeführt habe.

Siehe dazu auch:
NUL Demos von heise Security (ju)