Sicherheitsspezialisten können Lücke im Internet Explorer nicht reproduzieren [2.Update]

Bislang ohne Erfolg haben weltweit Sicherheitspezialisten versucht, die von FrSIRT gemeldete Lücke im Internet Explorer nachzuvollziehen. Auch bei Tests in der Redaktion von heise Security ließen sich die Ergebnisse von FrSIRT nicht reproduzieren.

In Pocket speichern vorlesen Druckansicht 182 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Daniel Bachfeld

Nach der Meldung des FrSIRT über die kritische Sicherheitslücke im Internet Explorer haben weltweit Sicherheitspezialisten versucht, das Problem zu reproduzieren. Bislang ist es aber niemandem gelungen, mit dem veröffentlichten Exploit-Code eine Backdoor auf Port 28876 unter Windows XP zu öffnen. Bei mehreren Tests der heise-Security-Redaktion auf XP SP2 mit der verdächtigen Datei msdds.dll -- in der Regel Bestandteil von Office 2003 und Visual Studio -- stürzte der Internet Explorer nur ab oder der Add-on-Manager meldete ein Problem. In einigen Fällen tat sich gar nichts. Ob der Angriff nur bei bestimmten Versionen der DLL oder nur auf französischen XP-Systemen funktioniert, wird auf mehreren Sicherheits-Mailing-Listen noch diskutiert.

Dabei hat sich auch Jan-Berend Wever, Spezialist für Sicherheitslücken in Microsofts Webbrowser, zu Wort gemeldet und weitere Details veröffentlicht. Demnach ist der Internet Explorer zwar in der Lage, COM-Objekte analog zu ActiveX-Controls über das <object>-Tag einzubinden. Allerdings sind zahlreiche dieser Objekte eigentlich nicht für das Laden in den Internet Explorer vorgesehen. Deshalb treten unter Umständen beim Aufruf Fehler auf, die sich zum Einschleusen und Ausführen von Code missbrauchen lassen.

Dass dies ein Problem darstellt, hat Microsoft bereits Anfang Juli mit dem Objekt javaprxy.dll erfahren müssen. Um die Lücke zu stopfen, veröffentlichte der Softwarekonzern außer der Reihe einen Patch, der das Nachladen des Objektes mittels gesetztem Kill Bit verhindert. Am vergangenen Patch Day legte Microsoft noch nach und setzte per Update MS05-038 das Bit für weitere 40 COM-Objekte, mit denen Remote-Code-Execution möglich war. Offenbar hat man dabei msdds.dll aber nicht berücksichtigt.

Auch Wever hat das neue Problem nicht nachvollziehen können und kritisiert FrSIRT scharf. Diese hätten seine Proof-of-Concept-Exploits für die COM-Lücken schamlos kopiert und verbreitet -- ohne ihn wenigstens in den Credits zu erwähnen.

Wer sicherstellen will, dass der Internet Explorer auch auf seinem System das genannte Objekt nicht laden kann, muss das Kill Bit manuell setzen. Dazu ist unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\ der Schlüssel {EC444CB6-3E7E-4865-B1C3-0DE72EF39B3F} mit dem Eintrag "Compatibility Flags"=dword:00000400 zu erzeugen.

Update
FrSIRT hat sein Advisory zwischenzeitlich aktualisiert. Demnach ist nur die DLL-Version 7.0.9064.9112 verwundbar, wie sie in Office 2002 und Visual Studio 2002 zu finden ist.

2.Update
Microsoft hat ein Security Advisory zu dem Problem herausgegeben. Darin wird zumindest der Absturz des Internet Explorer beim Aufruf des Exploits bestätigt. Potenziell sei aber auch das Einschleusen und Ausführen von Code möglich, so die Redmonder. Nach Abschluss der Untersuchungen will man unter Umständen ein Update noch vor dem nächsten Patch-Day zur Verfügung stellen.

Siehe dazu auch:

(dab)