Guninski findet neuen Weg zu alter IE-Lücke

Bug-Jäger Georgi Guninski hat wieder einmal Sicherheitslücken im Internet Explorer 5.x und in Outlook (Express) gefunden. Mit Hilfe von HTML-Hilfedateien (".chm"-Files), so Guninski, können Angreifer beliebige Programme auf dem betroffenen Rechner starten.

Komfortabel soll das Hilfesystem von Windows sein. Es erlaubt deshalb, Programme direkt aus der Hilfe heraus auszuführen. In den Hilfedateien zum Einrichten eines neuen Druckers kann so direkt der Ordner "Drucker" geöffnet werden. Die Benutzerfreundlichkeit bringt allerdings Sicherheitsprobleme mit sich. Dass Angreifer mittels ".chm"-Dateien in Verbindung mit dem Internet Explorer oder Outlook einen Rechner quasi übernehmen können, hat Guninski bereits vor einiger Zeit nachgewiesen. Microsoft brachte daraufhin einen Patch heraus, der die Ausführung von Hilfedateien nur erlaubt, wenn sie vom lokalen Dateisystem stammen.

Das reicht nicht, meldet Guninski jetzt: Wer den Speicherort für die temporären Dateien des Internet Explorer kennt, und das ist wegen meist gleich lautender Pfade und Ordnernamen kein großes Kunststück, kann dort eine ".chm"-Datei platzieren und sie anschließend mit dem Befehl showHelp() ausführen. Dieser Umweg hebelt den Sicherheitsmechanismus des Patchs aus, Windows hält die Datei für ungefährlich.

Auf der Homepage von Guninski wird die Lücke beschrieben. Außerdem befindet sich dort ein Beispielskript, mit dem sich das Problem demonstrieren lassen soll. Bei unserem Selbstversuch (IE 5.5 unter Windows NT 4.0 und Win 98 SE) findet das Skript zwar einen gültigen Pfad in "Temporary Internet Files", der Start des Programms WordPad, den Guninski verspricht, schlug aber fehl.

Details zu bisher bekannten Sicherheitslücken im Internet Explorer nebst Links zu den verfügbaren Patches liefert der Report IE-Sicherheitslücken 2000. (uba)