Extrem wichtiger Patch für den Internet Explorer

Microsoft hat einen kumulativen Sicherheits-Patch für den Internet Explorer herausgegeben, der eine Reihe von schweren Lücken schließt. Die gefährlichste davon erlaubt es einem Angreifer, über eine Webseite oder eine HTML-Email beliebigen Code auf dem Rechner des Opfers auszuführen.

Eine Lücke im Zonen-Sicherheitsmodell und in der Art und Weise, wie der IE Dateien aus dem Cache holt, kann dazu führen, dass ein bösartiges HTML-Dokument plötzlich in der Zone "Arbeitsplatz" läuft und beliebigen Scripting-Code ausführen kann. Im schlimmsten Fall ist es dem Sicherheitsbulletin MS03-032 zufolge möglich, lokale ausführbare Dateien zu starten oder lokale Informationen auszulesen.

Zudem ermittelt der Internet Explorer den von einem Web-Server zurückgelieferten Objekt-Typ nicht korrekt. Darüber kann ein Angreifer beliebigen Code auf dem Rechner des Benutzers ausführen, ohne dass weitere Interaktion notwendig wäre. Diese Lücke lässt sich ebenfalls über eine spezielle HTML-Email ausnutzen.

Im Detail besteht das Problem darin, dass der IE bei der Ermittlung, ob ein Objekt sicher ist oder nicht, die Dateierweiterung aus dem Tag "Object Data" ausliest. Allerdings verwendet er später den bei der Objekt-Anforderung gelieferten Header "Content Type", um die tatsächlich auszuführende Aktion festzulegen.

Dementsprechend kann ein Angreifer zunächst dem Client eine "sichere" Datei ankündigen, indem er die Erweiterung ".html" in den Tag "Object Data" übermittelt. Wenn der IE oder Outlook jedoch die vermeintlich sichere Text-Datei anfordert, kommt tatsächlich eine ausführbare Datei an - beispielsweise ".hta" (Compiled HTML). Hier wertet der IE den Header "Content Type" aus und führt die Datei dann entsprechend aus.

Somit kann ein Angreifer ausführbare Dateien als "sichere" tarnen und dafür sorgen, dass sie ohne weitere Interaktion ausgeführt werden. Besonders gefährlich an dieser Lücke ist, dass sie extrem einfach ausgenutzt werden kann. Es sind keinerlei Kenntnisse notwendig, wie man beispielsweise einen Pufferüberlauf richtig ausnutzt, wie es etwa beim MSBlast der Fall war. Diese Lücke lässt sich quasi von jedermann ausnutzen - auch von diversen Dialer-Anbietern, die so ihre "Produkte" heimlich an den Mann beziehungsweise auf den Rechner bringen könnten.

Der neue Patch setzt zusätzlich das "Kill Bit" im ActiveX-Control "BR549.DLL" (Windows Reporting Tool) aus. Dieses ActiveX enthält eine Schwachstelle, die sich ebenfalls von HTML-Dokumenten zur Ausführung beliebigen Codes ausnutzen lässt. Zu guter letzt wird auch eine sprachspezifische Variante der schon länger bekannten Lücke "Pufferüberlauf über Tag Object Type" (MS03-020) behoben. Microsoft hat auch eine Reihe weiterer kleiner Schwachstellen beseitigt.

Angesichts der gravierenden Lücken sollten Sie den Patch schnellstmöglich auf allen Systemen installieren. Er ist entweder über das Windows-Update oder hier verfügbar.

Informationen zu Sicherheitsproblemen finden Sie täglich aktualisiert in unserem Security Report. Dort besteht auch die Möglichkeit, den tecCHANNEL-Security-Newsletter zu abonnieren, der Sie über Probleme und deren Lösung auf dem Laufenden hält. (mha)