Details zur Safari-Teppich-Bombe [Update]
Der Internet Explorer sucht beim Start seine DLLs nicht nur in den dafür vorgesehenen Ordnern, sondern zusätzlich auch noch auf dem Desktop. In Kombination mit einem Safari-Feature kann daraus ein Problem entstehen. Eine Demo kursiert bereits.
- Daniel Bachfeld
Zwar gab es am vergangen Dienstagabend von Microsoft ein Sicherheits-Update für den Internet Explorer, die als "Safari Carpet Bomb" bekannt gewordene Schwachstelle hat man allerdings nicht beseitigt. Nach einhelliger Meinung ist aber Microsofts Browser Hauptverursacher des Problems, das sich in Kombination mit Apples Safari unter Umständen zu einer Lücke entwickeln kann.
Der Internet Explorer sucht offenbar beim Start seine erforderlichen DLLs nicht nur in den dafür vorgesehenen Windows-System-Ordnern, sondern zusätzlich auch noch auf dem Desktop. Unglücklicherweise schaut er dort [Update] beim Starten über die Desktop-Verknüpfung [/Update] auch zuerst nach – unabhängig davon, ob die Funktion SafeDllSearchMode aktiviert ist.
In Kombination mit dem von vielen Sicherheitspezialisten kritisierten Verhalten von Safari, Dateien ungefragt auf den Desktop herunterzuladen, ergibt sich das Sicherheitsproblem. Gelangt eine präparierte DLL beim Surfen mit Apples Browser auf den Desktop, kann dies beim späteren Aufruf des Internet Explorer zu einer Infektion des System führen. Berichten zufolge ist der abweichende Ladeprozess von DLLs beim Internet Explorer 6, 7 und der noch kommenden Version 8 sowohl unter Windows XP als auch Vista zu beobachten.
Der Sicherheitspezialist Liu Die Yu hat hat den Code für einen Demo-Exploit veröffentlicht, der beim Start des Internet Explorer Notepad öffnet. Zudem stellt er eine fertige Proof-of-Concept-Seite bereit, die beim Besuch mit Safari die Datei schannel.dll auf den Desktop speichert. Normalerweise enthält diese Bibliothek die Funktionen zur sicheren Kommunikation per SSL/TLS.
Da derzeit nur wenige Anwender mit Apples Safari im Netz unterwegs sein dürften, ist das Problem relativ begrenzt. Betroffene Anwender sollten Microsofts Ratschlag folgen und einen separaten Download-Ordner für Safari definieren (Bearbeiten/Einstellungen/Downloads sichern in). Der Firefox-Browser legt heruntergeladene Dateien ebenfalls standardmäßig auf dem Desktop ab, allerdings fragt er den Anwender vorher.
Siehe dazu auch:
- Design Flaw in Windows Internet Explorer Allows Remote Code Execution From Safari for Windows, Fehlerbericht von Liu Die Yu
(dab)