MS-Patch: XML-Control in XP gibt Daten preis

Microsoft muss den XML-Core Service nachbessern, der mit Windows XP, IE 6 und dem SQL Server 2000 kommt. Über das XMLHTTP ActiveX-Control lassen sich derzeit Dateien auf dem System ausspionieren.

Die fehlerhafte ActiveX-Komponente im XML-Service schert sich unter bestimmten Voraussetzungen wenig um die Sicherheitseinstellungen des Internet Explorers. Sendet eine Webseite eine XML HTTP GET-Anfrage an das System, die sich auf eine lokale Datei bezieht, sollte der Zugriff je nach Einstellungen des Internet Explorers verweigert werden. Das geschieht zwar in der Regel, nicht aber, wenn die GET-Anfrage über eine Umleitung (Redirect) ankommt.

Um die Lücke zu nutzen und lokale Dateien auszulesen, muss ein Angreifer zwei Webseiten erstellen. Die eine schickt ein XML HTTP GET an die andere, die so vorbereitet ist, dass sie die Anfrage auf das System des Benutzers umleitet. Damit lassen sich Dateien herunterladen (GET), nicht aber verändern oder löschen. Der Angreifer muss jedoch den Pfad und Dateinamen kennen.

Microsoft bietet einen Patch an, der die als kritisch eingestufte Lücke schließen soll. Das zugehörige Bulletin MS02-008 mit weiteren Informationen und Links zum Patch für alle Sprachversionen finden Sie hier. Über weitere Lücken im Internet Explorer informiert dieser Report.