Bugjäger Georgi Guninski deckt des öfteren Fehler, so groß wie ein Scheunentor, im Internet Explorer auf. Microsoft ist da verständlicherweise zurückhaltender. Im folgenden finden Sie die 1999er-Sicherheitsprobleme, größtenteils mit Hinweisen, wie Sie die Sicherheitslöcher stopfen können. Viele dieser Fehler sind auch noch im aktuellen IE 5.5 vorhanden. Fehler und Fixes, die im Jahr 2000 entdeckt wurden, sind im Beitrag IE Sicherheitslücken 2000 gesammelt.
Achtung: Die Links zu den Beispielen führen gewöhnlich direkt zu einer Demonstrationsseite des betreffenden Bugs. Machen Sie sich deshalb bitte unbedingt vorher mit Hilfe der zugehörigen Beschreibung mit den Wirkungsweisen und den zu erwartenden Resultaten vertraut! (tri/sda/mha)
WPAD-Spoofing
Das Web-Proxy-Auto-Discovery-Feature (WPAD) erlaubt es Anwendern des Internet Explorer 5 die Proxy-Einstellungen automatisch zu ermitteln. Dazu wird ein WPAD-Server gesucht, wobei die einzelnen Level einer Domain sukzessive durchsucht werden. Findet der Internet Explorer in der aktuellen Sub-Domain keinen WPAD-Server, sucht das Programm automatisch in der nächsthöheren Domain. Dabei sucht der sukzessive alle Domains Internet Explorer inklusive der Second-Level-Domain nach einem WPAD-Server ab. Die Top-Level-Domain (.com) durchsucht der Browser nicht, da die als sicher angenommene Second-Level-Domain nicht verlassen wird.
Ein Beispiel: Eine Domain der Form "sub2.sub1.domain.com" wird in drei Schritten nach einem WPAD-Server durchsucht. Zunächst wird "wpad.sub2.sub1.domain.com" gesucht, danach "wpad.sub1.domain.com" und danach "wpad.domain.com". Hier bricht der Suchvorgang ab, die interne Domain wird nicht verlassen. Das funktioniert jedoch nicht bei einer internationalen Domain des Typs "sub.domain.com.uk". Denn auch hier wird bis zur vermeintlichen Domain gesucht: "wpad.sub.domain.com.uk", "wpad.domain.com.uk", "wpad.com.uk". Letztere liegt aber nicht mehr im sicheren Bereich der Domain. Ein potenzieller Angreifer kann also an dieser Stelle einen WPAD-Server installieren, der entweder durch falsche Proxy-Informationen das ganze Netzwerk zum Stillstand bringt, oder sich selbst als Proxy konfiguriert und so den kompletten ausgehenden Verkehr kontrollieren kann.
Die Sicherheitslücke betrifft ausschließlich den Datenaustausch mit dem WWW. Andere Dienste wie E-Mail und sichere (SSL-)Verbindungen sind nicht betroffen.
Workaround
Installieren Sie die Internet-Explorer-Version 5.5. Alternativ stellen Sie sicher, dass in ihrem Netzwerk ein WAPD-Server oberhalb der Second-Level-Domain verfügbar ist.
Datum: | 1. Dezember 1999 |
|---|---|
| |
Betrifft: | Internet Explorer 5.0 |
Wirkung: | Manipulieren der Proxy-Konfiguration |
Patch: |
Weitere Informationen
Microsofts Sicherheitsbulletin 54/99
Task Scheduler Bug
Der Internet Explorer 5 kann in Verbindung mit dem optional zu installierenden Offline Browsing Pack zu einer erheblichen Sicherheitslücke in Windows NT führen. Durch das Offline Browsing Pack wird der NT-Schedule-Service durch eine neue, unsichere Version ersetzt. Mit ihrer Hilfe kann ein Anwender ohne besondere Privilegien Programme auf Systemebene ausführen.
Der zeitgesteuerte Aufruf von Programmen, so genannte AT-Jobs, ist normalerweise Benutzern mit Administratorrechten vorbehalten. Die Task-Scheduler-Einträge sind im Verzeichnis %systemroot%\\tasks abgelegt. In diesem Verzeichnis hat jeder Benutzer Schreibrechte. Der fehlerhafte Task Scheduler überprüft lediglich, ob sich die Dateien mit den Scheduler-Anweisungen im Besitz des Administrators befinden. Um eigene Task-Scheduler-Jobs zu erzeugen, muss ein Benutzer lediglich Zugriff auf eine beliebige im Besitz des Administrators befindliche Datei haben. Diese kann er dann modifizieren und in das Tasks-Verzeichnis kopieren - der Task Scheduler führt die Datei dann ungeprüft als AT-Job aus.
Um die Sicherheitslücke auszunutzen, muss der Angreifer jedoch den Dateiinhalt direkt modifizieren, dass heißt, gegebenenfalls mit einem Hexadezimaleditor den Binärcode editieren. Eine andere Möglichkeit besteht darin, auf einem Computer, auf dem der Angreifer selbst Administratorrechte besitzt, einen AT-Job zu erzeugen, und den Code dann in die modifizierte Datei zu kopieren.
Durch den Patch werden AT-Jobs bei der Erzeugung digital signiert, sodass der Task Scheduler modifizierte Dateien erkennen kann.
Workaround
Installieren Sie den Internet Explorer 5.5 oder verzichten Sie auf die Installation des IE 5 Offline Browsing Pack.
Datum: | 29. November 1999 |
|---|---|
| |
Betrifft: | Internet Explorer 5 und Windows NT |
Wirkung: | Ausführen von Programmen auf dem Rechner des Anwenders möglich |
Patch: |
Weitere Informationen
Microsofts Sicherheitsbulletin 51/99
XML-http-Redirect
Wieder einmal hat Georgi Guninski eine Sicherheitslücke im Internet Explorer aufgespürt. Die Möglichkeit, XML-Objekte in HTML-Seiten zu integrieren, lässt sich beim Internet Explorer zur Umgehung der internen Sicherheitsvorkehrungen nutzen. Auch bei dieser Sicherheitslücke wird eine http-Umleitung ausgenutzt.
In HTML-Dokumente eingebettete Objekte führten bereits wiederholt zu Sicherheitsproblemen, weil die Zugriffsbeschränkungen, die für das Mutterdokument in Kraft sind, durch diverse Methoden ausgehebelt werden können. Auch im Falle eines eingebetteten XML-Dokuments lassen sich durch ungehinderten Zugriff auf das Document Object Model fast beliebige Operationen ausführen. Über eine interne Umleitung lassen sich etwa alle lokalen XML-Dokumente anzeigen. Auch andere Dateien können im Rahmen einer Fehlermeldung zumindest teilweise ausgelesen werden. Voraussetzung ist immer, dass dem Angreifer Dateiname und Pfad bekannt sind. Besonders bei Standarddateien die sich gewöhnlich im Haupt- oder Windows-(System-)Verzeichnis befinden, ist dazu aber keine besondere Intelligenz erforderlich.
Workaround
Bis zur Verfügbarkeit des Patches gibt es zwei Möglichkeiten, die Sicherheitslücke zu schließen. Dazu muss entweder das Active Scripting deaktiviert oder die Ausführung der ActiveX-Controls unterbunden werden.
Datum: | 23. November 1999 |
|---|---|
| |
Betrifft: | Internet Explorer 5.x und 4.01 |
Wirkung: | Zugriff auf lokale Dateien |
Patch: | Noch nicht verfügbar |
Weitere Informationen
JavaScript Redirect
Die JavaScript-Redirect-Sicherheitslücke erlaubt die Umgehung der Cross-Domain-Sicherheitsbeschränkungen. Diese Beschränkungen verhindern, dass Daten auf dem Computer des Website-Besuchers dem Webserver zugänglich sind. So gibt es etwa Situationen, in denen begrenzter Zugang zu den Daten des Besuchers nötig ist. Ein Beispiel ist ein Warenkorb, dessen Inhalt auf eine Bestellseite kopiert werden soll. Die Cross-Domain-Beschränkungen stellen sicher, dass ohne explizites Einverständnis des Benutzers kein Zugriff auf die Daten möglich ist.
Durch eine automatische Serverumleitung ist es möglich, das Schutzsystem auszuhebeln. Beim Aufruf einer präparierten Seite vom Server wird die Anforderung auf ein lokales JavaScript-Programm umgeleitet (Adresse in der Form "javascript:programmcode"). Dieses Skript arbeitet lokal auf dem PC des Benutzers, also innerhalb einer als sicher geltenden Umgebung. Hier hat es Zugang zum Document Object Model und kann dementsprechend Dateien öffnen. Um die Sicherheitslücke auszunutzen, müssen dem Angreifer dazu allerdings Name und Pfad der Datei bekannt sein.
Workaround
Installieren Sie den Patch, denn auch der IE 5.5 ist für dieses Problem teilweise noch anfällig. Microsoft empfiehlt, die Installation direkt von der Webseite vorzunehmen. Sie können Ihr System auch schützen, indem Sie das Active Scripting im Internet Explorer deaktivieren. Eine ausführliche Beschreibung, wie Sie das Active Scripting abschalten, finden Sie im Abschnitt IFRAME-ExecCommand-Bugs.
Datum: | 19. November 1999 |
|---|---|
| |
Betrifft: | Internet Explorer 5.5, 5 und 4.01 |
Wirkung: | Dateneinsicht möglich |
Patch: |
Weitere Informationen
HTTP Redirect
Die von Georgi Guninski beschriebene Sicherheitslücke erlaubt das Ausspähen von Text- oder HTML-Dateien auf dem Computer des Internetbenutzers. Zum Öffnen der Sicherheitslücke wird ein http-Redirect benutzt, der in ähnlicher Form etwa bei der automatischen Weiterleitung des Browsers innerhalb von Meta-Tags Anwendung findet. Statt auf eine neue Internetadresse wird auf eine Datei auf dem Rechner des Anwenders verzweigt.
Ein einfaches Skript kann diesen Bug ausnutzen. Die auszuspähende Datei wird zunächst über eine Window.open-Anweisung mit Redirect auf die gewünschte Datei referenziert und gleich darauf mit der Document-Funktion geöffnet. Dazu muss dem potenziellen Angreifer allerdings der Dateiname sowie der genaue Pfad bekannt sein. Gerade die Möglichkeit, die Sicherheitslücke mit Hilfe von präparierten E-Mails und Forumnachrichten auszunutzen, macht diesen Bug besonders gefährlich.
Workaround
Für diesen Bug gibt es derzeit noch keinen Patch von Microsoft, die Sicherheitslücke kann jedoch vorübergehend durch das Deaktivieren des Active Scriptings geschlossen werden.
Datum : | 15. November 1999 |
|---|---|
| |
Betrifft: | Internet Explorer 5.x |
Wirkung: | Dateneinsicht möglich |
Patch: | Noch nicht verfügbar |
Weitere Informationen
Active Setup Control
Die Active-Setup-Control-Sicherheitslücke kann durch ein E-Mail-Attachment ausgenutzt werden. Dabei wird ein beliebiges Programm in einer Cabinet-Datei verpackt. Dieser Dateityp lässt sich mit einem Active-X-Control öffnen. Die möglichen Folgen reichen von Vireninfektion über Fernkontrolle bis hin zum Verlust sämtlicher Daten.
Da sicherheitsbewusste Anwender keine per E-Mail empfangenen unbekannten Programme ausführen, "maskiert" ein potenzieller Angreifer die Datei. Er gibt ihr dabei eine beliebige andere Dateiendung, beispielsweise "mid" oder "jpg".
Die direkte Ausführung als Attachement ist vom mit dieser Dateiendung assoziierten Programm nicht möglich, weil es sich ja tatsächlich gar nicht um eine Datei des angegebenen Typs handelt. Von der betreffenden Datei wird allerdings während des Versuchs, sie zu öffnen, eine temporäre Kopie erzeugt. Der potenzielle Angreifer besitzt nun die Möglichkeit, die Cabinet-Datei zu öffnen, indem er direkt auf diese Kopie zugreift. Dies geschieht über ein Skript innerhalb einer HTML-E-Mail unter Ausnutzung des fehlerhaften ActiveX-Controls. Voraussetzung ist das Vorhandensein des betreffenden Controls und die Benutzung eines HTML-Scripting-fähigen Browsers. Beide Voraussetzungen erfüllen die Internet-Explorer-Versionen 4 und 5.
Workaround
Installieren Sie den Patch. Theoretisch reicht es auch, einen anderen Pfad für das Temp-Verzeichnis festzulegen. Achtung: Ältere Versionen des Internet Explorer 4 (4.01 SP1) lassen die Installation des Patches nicht zu. Microsoft empfiehlt hier, auf eine neue Version des Internet Explorers umzusteigen.
Datum: | 11. November 1999 |
|---|---|
| |
Betrifft: | Internet Explorer 5 und 4.01 |
Wirkung: | Ausführung beliebigen Programmcodes möglich |
Patch: |
Weitere Informationen
IFRAME ExecCommand
Das Internet-Explorer-Sicherheitsmodell beschränkt normalerweise den Aufruf der ExecCommand()-Methode mittels Active Scripting auf dem Computer des Besuchers. Sobald jedoch über IFRAME ein Unterfenster im Browser geöffnet wird, sind einige dieser Sicherheitsbeschränkungen im neuen Fenster unwirksam. Ein potenzieller Angreifer kann so von der besuchten Website aus Dateien auf Ihrem Computer lesen. Dazu müssen ihm allerdings Name und Adresse der Datei bekannt sein
Workaround
Installieren Sie den Patch. Sollten Sie darauf verzichten wollen, gibt es noch eine andere Möglichkeit. Das Deaktivieren des Active Scriptings für die Internetzone verhindert ebenfalls den Zugriff. Die Option zum Deaktivieren des Active Scriptings befindet sich unter Extras/Internetoptionen/Sicherheit/Internet/Stufe anpassen... Um dennoch alle Funktionen sicherer Websites zuzulassen, sollten Sie eine entsprechende Website in die Zone Vertrauenswürdige Sites aufnehmen. Dazu tragen Sie den URL sicherer Sites unter Extras/Internetoptionen/Sicherheit/Vertrauenswürdige Sites/Sites manuell ein. Es ist zusätzlich nötig, die Option Für die Sites in dieser Zone ist eine Serverüberprüfung (https:) erforderlich zu deaktivieren.
Achtung: Der ursprüngliche Patch für den Bug öffnete eine ältere Sicherheitslücke im Internet-Explorer 5.x. Installieren Sie daher unbedingt den unten angegebenen Patch vom 5. November 1999.
Datum: | 5. November 1999 |
|---|---|
| |
Betrifft: | Internet Explorer 4.01 bis SP1 und 5.x |
Wirkung: | Dateneinsicht möglich |
Patch: |
Weitere Informationen
Download Behaviour
Das Download Behaviour erlaubt es Webseiten-Autoren, Dateien skriptgesteuert vom Webserver zu laden. Eine Sicherheitsvorkehrung erlaubt dabei nur den Zugriff auf den Server, der auch die betreffende Webseite bereitstellt. Es ist jedoch möglich, diese Einschränkung mittels eines Server Side Redirects zu umgehen. Dabei wird ähnlich wie bei einem Meta Refresh automatisch eine andere Seite geladen. Diese muss nicht notwendigerweise auf dem Server liegen. Theoretisch ist es dadurch möglich, Dateien vom Computer oder aus dem lokalen Intranet auf den Server zu kopieren. Dazu müssen dem potenziellen Datenspion jedoch Name und Adresse der Datei bekannt sein.
Workaround
Installieren Sie den Patch, den Microsoft anbietet. Sie können die Sicherheitslücke ebenfalls schließen, indem Sie das Active Scripting deaktivieren.
Datum: | 28. September 1999 |
|---|---|
| |
Betrifft: | Internet 5 |
Wirkung: | Dateneinsicht Computer/Intranet |
Patch: |
Weitere Informationen
ImportExportFavorites
Über den Aufruf der Methode ImportExportFavorites() ist es möglich, Favoriten in eine Datei zu schreiben und zu exportieren. Diese Operation sollte auf bestimmte Dateien und Verzeichnisse beschränkt bleiben. Auf Grund fehlender Sicherheitsvorkehrungen kann ein Angreifer diese Funktion jedoch dazu nutzen, Dateien anzulegen, die Systembefehle ausführen. Damit ist theoretisch jede Aktion auf dem Computer ausführbar, die im Rahmen der Benutzerprivilegien des angemeldeten Anwenders erlaubt ist.
Workaround
Installieren Sie den Patch. Sie können die Sicherheitslücke ebenfalls schließen, indem Sie das Active Scripting, wie bei der IFRAME-Sicherheitslücke beschrieben, deaktivieren. Zusätzlich wird durch die Installation des Patches die Ausführung von acht unsicheren ActiveX Controls durch den Internet Explorer verhindert. Mehr dazu unter Scriptlet.typelib/Eyedog. Dieses Bugfixing steht nicht in Verbindung mit der ImportExportFavorites-Sicherheitslücke.
Datum | 10. September 1999 |
|---|---|
| |
Betrifft: | Internet Explorer 5, 4.01 |
Wirkung | Systembefehle ausführbar |
Patch: |
Weitere Informationen
Scriptlet.typelib/Eyedog
Das Scriplet.typelib Control erlaubt die Erzeugung und Veränderung von Dateien. Damit lässt es sich, ähnlich wie die ImportExportFavorites-Sicherheitslücke, dazu missbrauchen, die Kontrolle über den Computer des Benutzers zu erlangen.
Das Eyedog Control erlaubt das Auslesen der Systemregistrierung und weiterer Systeminformationen. Zudem ist es durch einen Buffer-Overrun-Angriff verwundbar.
Beide ActiveX Controls werden von anderen Systemkomponenten benötigt. Durch die irrtümliche Kennzeichnung als "scripting-sicher" lassen sie sich jedoch auch vom Internet Explorer aufrufen, wodurch die Sicherheitslücke entsteht. Dieses Problem tritt immer wieder auf, die irrtümliche Kennzeichnung ist auf menschliches Versagen zurückzuführen. Der ImportExportFavorites Patch sperrt beispielsweise zusätzlich acht weitere unsichere ActiveX Controls per Kill Bit.
Workaround
Installieren Sie den Patch. Das Scriptlet.typedog Control wird als "nicht scripting-sicher" gekennzeichnet und kann vom Internet Explorer nur dann ausgeführt werden, wenn der Benutzer zustimmt. Das Eyedog Control wird durch Setzen des so genannten "Kill Bits" für die Ausführung durch den Internet Explorer gesperrt.
Datum: | 31. August 1999 |
|---|---|
| |
Betrifft: | Internet Explorer 5 und 4.x |
Wirkung | Unbeschränkter Zugriff |
Patch: |
Weitere Informationen
Malformed Favorites Icon
Die Favoritenverwaltung des Internet Explorers erlaubt die Darstellung site-bezogener Icons. Diese werden dazu direkt von den entsprechenden Websites heruntergeladen. Der Download eines speziell präparierten Icons kann auf dem Computer des Benutzers ein Buffer Overrun hervorrufen. Danach lässt sich beliebig ausführbarer Code über die Internetverbindung auf den Computer übertragen.
Workaround
Installieren Sie den Patch, den Microsoft anbietet. Gleichzeitig wird dadurch eine weitere Sicherheitslücke geschlossen, die durch das nicht benötigte Legacy ActiveX Control besteht.
Datum: | 27. Mai 1999 |
|---|---|
| |
Betrifft: | Internet Explorer 5, 4.x unter Windows 95/98 |
Wirkung: | Beliebiger Code ausführbar |
Patch: |
Weitere Informationen
Legacy ActiveX Control
Das Legacy ActiveX Control wurde von früheren Versionen des Internet Explorers benutzt. Obwohl es die neueren Versionen nicht mehr benötigen, wurde es dennoch mit den Internet Explorern 4 und 5 installiert. Durch den Aufruf des Controls ist es jedoch möglich, Daten von der Festplatte zu lesen.
Workaround
Der installierte Patch löscht das nicht benötigte Control.
Datum: | 27. Mai 1999 |
|---|---|
| |
Betrifft: | Internet Explorer 5, 4.x unter Windows 95/98 |
Wirkung: | Inhalt der Festplatte lesbar |
Patch: |
Weitere Informationen
Cross-Frame Security/Windows Spoofing
Bei der Windows-Spoofing-Sicherheitslücke handelt es sich um eine Variante des bereits im September 1998 bekannt gewordenen Cross-Frame Security Bugs im Internet Explorer 4 (Microsofts Sicherheitsbulletin 13/1998). Wird beim Besuch einer als vertrauenswürdig eingestuften Site innerhalb eines Frames eine nicht vertrauenswürdige Site geöffnet, erhält diese automatisch die Rechte der sie umgebenden vertrauenswürdigen Site. Dateien von der lokalen Festplatte sind daraufhin an den Server übermittelbar.
Workaround
Installieren Sie den Patch. Er behebt gleichzeitig die Sicherheitslücken Cross-Frame Security/Windows Spoofing, Untrusted Scripted Paste und IMG SRC Tag.
Datum: | 21. April 1999 |
|---|---|
| |
Betrifft: | Internet Explorer 5, 4.x |
Wirkung: | Unzulässige Rechtevergabe |
Patch: |
Weitere Informationen
Untrusted Scripted Paste
Die Untrusted-Scripted-Paste-Sicherheitslücke ist eine Variante des gleichnamigen Bugs, der bereits im Oktober 1998 im Internet Explorer 4 entdeckt wurde (Microsofts Sicherheitsbulletin 15/1998). Dabei ist es möglich, dass skriptgesteuert ein Dateiname an das für den Upload zuständige Control übergeben wird. Dies sollte normalerweise eine ausdrückliche Genehmigung durch den Anwender erfordern. Eine anschließende Formularübermittlung bei abgeschalteter Sicherheitsabfrage führt zu der Möglichkeit, eine Datei ohne Wissen des Benutzers zu übertragen.
Workaround
Installieren Sie den Patch. Er behebt gleichzeitig die Sicherheitslücken Cross-Frame Security, Untrusted Scripted Paste und IMG SRC Tag.
Datum: | 21. April 1999 |
|---|---|
| |
Betrifft: | Internet Explorer 5, 4.x |
Wirkung: | Unzulässige Dateiübertragung |
Patch: |
Weitere Informationen
IMG SRC Tag
Mit Hilfe des IMG-Tag können Informationen über Größe und MIME-Typ einer Datei ermittelt werden. Dazu muss der Name der Datei allerdings bekannt sein. Das IMG-Tag dient zum Einbinden eines Bildes in die HTML-Seite. Allerdings ist der zulässige Dateityp nicht näher spezifiziert. Theoretisch kann das IMG-Tag deshalb auf jede beliebige Datei, auch auf eine Datei auf dem Computer des Anwenders verweisen. Eine auf diese Weise in das HTML-Dokument eingebundene Datei ermöglicht die Auswertung dieser Datei. Dies geschieht mit Hilfe des Document Object Models. Das Lesen oder Ändern der Datei ist nicht möglich.
Workaround
Installieren Sie den Patch. Er behebt gleichzeitig die Sicherheitslücken Cross-Frame Security, Untrusted Scripted Paste und IMG SRC Tag.
Datum: | 21. April 1999 |
|---|---|
| |
Betrifft: | Internet Explorer 5, 4.x |
Wirkung: | Informationsangabe über Datei |
Patch: |
Weitere Informationen
DHTML Edit
Das DHTML Edit Control dient zum Editieren von HTML-Code und zur Darstellung einer Vorschauansicht. Wird das Control von einer Website zur Verfügung gestellt, kann der Betreiber der Site alle Informationen, die in das Steuerelement eingegeben werden, lesen. Außerdem ist das automatische Laden von Dateien in das Steuerelement möglich, sodass diese sich nach dem gleichen Verfahren an die Website senden lassen. Sofern der potenzielle Angreifer den Pfad- und Dateinamen kennt, kann er dadurch Dateien vom Computer des Benutzers kopieren.
Workaround
Installieren Sie den Patch, den Microsoft anbietet.
Datum: | 21. April 1999 |
|---|---|
| |
Betrifft: | Internet Explorer 5, 4.x |
Wirkung: | Eingabe in Control lesbar/Datei kopierbar |
Patch: |