Alte DoS-Schwachstelle im Internet Explorer wird zum Riesenloch [Update]
Für eine der im Juli entdeckten Lücken im Internet Explorer hat H.D. Moore nun einen Exploit veröffentlicht, der beliebigen Code in ein vollständig gepatchtes Windows XP SP2 schleusen und starten kann.
- Daniel Bachfeld
Der Month of the Browser Bug (MoBB) hallt auch zwei Monate nach seinem Ende noch kräftig nach. Für eine der im Juli entdeckten DoS-Schwachstellen im Internet Explorer hat H.D. Moore nun einen Exploit veröffentlicht, der beliebigen Code in ein vollständig gepatchtes Windows XP SP2 schleusen und starten kann. Bei Tests der heise-Security-Redaktion mit dem Metasploit-Modul funktionierte der Exploit zwar nicht bei jedem Versuch, aber er funktionierte.
Der Fehler beruht auf einem Buffer Overflow und steckt im ActiveX-Control WebViewFolderIcon (webvw.dll) in der Funktion setclice. Ursprünglich ging man vor zwei Monaten zwar davon aus, dass der Fehler nur zum Absturz des Internet Explorer führt. Allerdings vermutete H.D. Moore bereits damals, dass sich diese Lücke auch für "Remote Code Execution" ausnutzen lässt – diesen Beweis hat er nun erbracht. Von wie vielen der insgesamt 25 während des MoBB im Internet Explorer gefundenen DoS-Lücken eventuell doch noch größere Gefahr droht, bleibt unklar.
Zwei Tage nach dem außerplanmäßigen Patch für die VML-Lücke verbleiben nun immer noch zwei ungepatchte Lücken in Microsofts Browser. Bei der schon von Crimeware Gangs ausgenutzten Lücke im DirectAnimation-Control schlagen die Redmonder in einem Fehlerbericht vor, das entsprechende Kill-Bit zu setzen, um es mangels verfügbarem Patch zu deaktivieren. Für die Webview-Lücke gibt es leider noch keinen Fehlerbericht von Microsoft. Das US-CERT empfiehlt Anwendern in seiner Vulnerability Note, das Kill-Bit für das Webview-Control ebenfalls zu setzen. Die CLSID des Controls lautet {844F4806-E8A8-11d2-9652-00C04FC30871}. Anwender, die dieses Control nicht benötigen, können folgenden Text etwa in der Datei webview_deakt.reg speichern:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{844F4806-E8A8-11d2-9652-00C04FC30871}] "Compatibility Flags"=dword:00000400
Ein Doppelklick fügt den Eintrag der Registry hinzu. Unerfahrende Anwender sollten von diesem Workaround allerdings Abstand nehmen und lieber ActiveX im Internet Explorer komplett deaktivieren oder auf einen anderen Browser wie Firefox oder Opera ausweichen.
Update
Berichten zufolge genügt es nicht, nur das Kill-Bit für die genannte CLSID zu setzen, um das Conrol zu deaktivieren. Zusätzlich muss ein weiteres Kill-Bit für die CLSID {e5df9d10-3b52-11d1-83e8-00a0c90dc849} gesetzt werden.
Siehe dazu auch: (dab)
- Microsoft Windows WebViewFolderIcon ActiveX integer overflow, Warnung des US-CERT
- MSIE SetSlice Vuln, Blogeintrag von RioSec
