Microsoft warnt vor Cross-Site-Scripting in Windows

In einem Security Advisory (deutsche Fassung im Chief Security Advisor Blog) warnt Microsoft vor einer Lücke in Windows, mit der sich Skripte in scheinbar vertrauenswürdige Seiten einschleusen lassen. Sie beruht auf einem Fehler im MHTML-Handler aller derzeit von Microsoft unterstützten Windows-Versionen, also Windows XP bis Windows 7 inklusive der zugehörigen Server-Versionen. Der Fehler steckt zwar in einer Windows-DLL, doch von den verbreiteten Browsern benutzt nur der Internet Explorer sie, um MHTML anzuzeigen. Doch auch lokal abgelegte MHTML-Dateien (Endung .mht) werden standardmäßig mit dem Internet Explorer geöffnet.

MHTML steht für MIME Encapsulation of Aggregate HTML und beschreibt einen Standard, wie man HTML-Code MIME-konform verpacken kann. Ein Skript, das über diese Lücke gestartet wurde, läuft im Internet Explorer im Sicherheitskontext einer vom Angreifer vorgegebenen Web-Seite. Deren Inhalt kann das Skript dann nachträglich manipulieren oder dort auch Eingaben des Anwenders vorgaukeln oder ausspionieren.

In einem Blog-Eintrag zeigen Dave Ross and Chengyun Chu von Microsofts Security-Team, wie man das eigene System auf Anfälligkeit testet und die Abhilfe, einen Fix, der Scripting und ActiveX in MHTML deaktiviert. Darüber hinaus gibt es eine Reihe weiterer Windows- und IE-Lücken, für die es von Microsoft ebenfalls nur Workarounds gibt, die aber bereits ausgenutzt werden. (je)