Datenleck im Browser-Plug-in des Windows Media Player
Datenschnüffler können das Plug-in nutzen, um im Namen des Opfers auf beliebige Webseiten zuzugreifen. Ein Angreifer könnte über eine speziell präparierte Webseite etwa fremde Mail-Accounts durchstöbern und sogar in das lokale Netz des Opfers vordringen.
- Ronald Eikenberg
Der Sicherheitsforscher Armin Razmdjou hat herausgefunden, dass speziell präparierte Webseiten über das Mediaplayer-Plug-in im Kontext des Besuchers auf andere Sites zugreifen können. Die Angriffsseite könnte etwa unsichtbar https://mail.google.com/mail laden und die dort gespeicherten Mails abgreifen – vorausgesetzt, ihr Besucher ist dort registriert und eingeloggt. Dies sollte die Same Origin Policy eigentlich verhindern. heise Security konnte das Problem nachvollziehen.
Über seine JavaScript-API lässt sich das WMP-Plug-in anweisen, eine beliebige Wiedergabeliste zu laden – auch von anderen Servern wie etwa http://example.com/Playlist.m3u. Dabei überprüft das Plug-in anhand der Dateiendung, um welches Format es sich handelt. Liefert der Server unter der URL statt einer Wiedergabeliste im m3u-Format eine Webseite zurück, interpretiert das Plug-in den HTML-Quelltext als Wiedergabeliste; die einzelnen Zeilen versteht es dabei jeweils als Song.
Razmdjou hat seinen Webserver so konfiguriert, dass er beim Aufruf einer vermeintlichen m3u-Datei einen Redirect auf eine beliebige URL durchführt: http://www.rawsec.net/wmp-poc/fakePlaylist.m3u?target=https://mail.google.com/mail
Befiehlt man dem Plug-in, diese Adresse zu laden, befolgt es die Weiterleitung. Anschließend kann man den Quelltext der Zielseite über die Eigenschaft Player.currentPlaylist abrufen. Das Problem hierbei ist, dass das Plug-in die Ziel-URL im Namen des Webseitenbesuchers aufruft und dabei eventuell vorhandene Cookies und aktive Sitzungen benutzt. Ein Angreifer kann so auf Daten zugreifen, die nur für sein Opfer bestimmt – einschließlich URLs im lokalen Netz des Opfers sowie Daten auf dessen Rechner.
Das WMP-Plug-in ist unter Windows offenbar standardmäßig für den Internet Explorer installiert. Für Chrome und Firefox lässt es sich nachrüsten. Razmdjou hat eine Demoseite eingerichtet, auf der man überprüfen kann, ob man selbst betroffen ist. Wird nach einem Klick auf "Load URL" dort der HTMl-Quellcode einer anderen Seite angezeigt, sollte man Plug-in des Windows Media Player schleunigst in den Ruhestand schicken.
Microsoft erklärte gegenüber heise Security lediglich, dass man das Problem untersuchen und alle nötigen Schritte einleiten werde, um die betroffenen Kunden zu schützen. (rei)
