Microsoft will URI-Lücke in Windows patchen
Nach einer 180-Grad-Kehrtwende bestätigt Microsoft nun die Existenz einer "URL-Handling-Sicherheitslücke in Windows" und stellt einen Patch in Aussicht. Einer der Gründe für den Umschwung soll die kontroverse Diskussion um das Problem gewesen sein.
- Daniel Bachfeld
Nach einer 180-Grad-Kehrtwende bestätigt Microsoft nun die Existenz einer "URL-Handling-Sicherheitslücke in Windows" in einem Knowledge-Base-Artikel und stellt einen Patch in Aussicht. Der Hauptgrund für den Sinneswandel ist laut Security Response Center, dass Microsoft in der Diskussion um das Problem selber zur Verwirrung beigetragen habe, indem es heise Security in einer Stellungnahme zu der Lücke das falsche "Set of Talking Points" geliefert habe, also laut Wikipedia den falschen Satz an PR-Phrasen. Die sich an eine diesbezügliche Meldung anschließende Diskussion auf der Sicherheitsmailingliste Full Disclosure habe die Redmonder dann bewogen, doch zu reagieren. Ein weiterer Grund könnte allerdings sein, dass sich kürzlich heraussstellte, dass auch Microsoft-Anwendungen wie Outlook Express und Outlook 2000 von dem Problem betroffen sind.
Im Blog des MSRC wird auch erklärt, wieso das Problem nur in Kombination mit dem Internet Explorer 7 unter Windows XP und Server 2003 auftritt. Mit der Installation des IE7 werden aufgerufene URIs zuerst genauer vom Browser auf ihre Gültigkeit untersucht und im Zweifel verworfen. Laut Microsoft versucht anschließend aber noch die Windows-Funktion ShellExecute() die URI zu interpretieren. Unter Vista wird dabei eine fehlerhafte URI, etwa mit Prozent- und Anführungszeichen an bestimmten Stellen, verworfen – unter XP allerdings nicht, was dazu führt, dass sich installierte Programme über ShellExecute() mit beliebigen Parametern starten lassen. Mit dem Internet Explorer 6 unter XP läuft die Verarbeitungsreihenfolge einer URI andersherum, weshalb der Fehler dort nicht auftritt.
Durch den geplanten Patch soll die URI-Verarbeitung der Funktion ShellExecute() sicherer werden. Daneben empfiehlt Microsoft Herstellern von Anwendungsprogrammen aber ebenfalls, die Gültigkeit der übergebenen URI zu prüfen, wie es Firefox und Skype bereits getan haben und Adobe demnächst tun will.
Siehe dazu auch:
- URL Handling Vulnerability in Windows XP and Windows Server 2003 with Windows Internet Explorer 7 Could Allow Remote Code Execution, KB-Artikel von Microsoft
- Additional Details and Background on Security Advisory 943521, Blogeintrag des MSRC
- Microsofts Outlook tappt ebenfalls in URI-Falle, Meldung auf heise Security
- Adobe warnt vor URI-Problemen, Meldung auf heise Security
- URI-Problem zieht weitere Kreise, Acrobat Reader und Netscape anfällig, Meldung auf heise Security
- Neue Erkenntnisse zur "Firefox-Lücke", Meldung auf heise Security
(dab)