Microsoft übersieht schwere Lücke in IE

Der vor gut zwei Wochen von Microsoft mit dem Security Bulletin MS03-032 bereitgestellte kumulative Patch für den Internet Explorer lässt eine gravierende Lücke offen. Ein externer Angreifer kann nach wie vor über HTML-E-Mails oder Websites beliebigen Code auf dem System ausführen.

Ursache für die immer noch vorhandene Sicherheitslücke ist eine Schwachstelle bei der Behandlung des Tags "OBJECT DATA". Ob ein Objekt sicher ist, legt der Internet Explorer über die Interpretation der in diesem Tag angegebenen Dateinamenserweiterung fest. Beim tatsächlichen Empfang der Datei wird jedoch statt über das Tag anhand des Content-Type-Headers entschieden, wie das File weiter zu behandeln ist.

Dies ermöglicht Angreifern, über eine "ungefährliche" Erweiterung (etwa .html) im Tag "OBJECT DATA" den Internet Explorer zur Abarbeitung vermeintlich sicherer Dateien zu veranlassen. Auf diese Weise kann der Angreifer den Internet Explorer dazu bringen, ausführbare Dateien wie ".hta"-Files als "sichere" Dateien zu behandeln und ohne weitere Eingriffsmöglichkeit des Benutzers oder weitere Einschränkungen automatisch abzuarbeiten.

Die Sicherheitslücke lässt sich derzeit ungeachtet des mit dem Security Bulletin MS03-032 bereitgestellten Patches uneingeschränkt ausnutzen, wie der Sicherheitsexperte "http-equiv" entdeckt hat. In gewisser Weise ähnelt diese Schwachstelle sehr stark der in MS01-020 beschriebenen, die bereits durch Schad-Software wie Nimda, Badtrans und Klez ausgenutzt wurde.

Das dänische Security-Unternehmen Secunia hat festgestellt, dass bereits ein Exploit für die nach wie vor bestehende Lücke kursiert. Eine Analyse zeigt, dass der Exploit ein Programm namens "ADPlus module" oder "SurferBar" installiert, das sich als Leiste in den Internet Explorer einklinkt und Links auf diverse Porno-Sites enthält.

Dieser Exploit tritt laut Secunia folgendermaßen auf:

Um sich vor solchen oder ähnlichen Angriffen zu schützen, kann man derzeit nur in den Sicherheitseinstellungen des Internet Explorer das Active Scripting komplett deaktivieren, bis ein Patch zur Beseitigung der Sicherheitslücke vorliegt.

Der Entdecker der Sicherheitslücke, http-equiv, merkt übrigens im Posting zu dem Thema an, er habe Microsoft schon vor einiger Zeit auf die immer noch vorhandene Schwachstelle aufmerksam gemacht, jedoch zu seiner Überraschung keinerlei Bestätigung erhalten.

Dabei handele es sich hier lediglich um einen Sonderfall einer prinzipiell bereits bekannten Schwachstelle. Daher sei völlig unverständlich, dass Microsoft den Fehler nicht von vornherein zusammen mit MS03-032 beseitigt habe. Ein solches "dramatisches Versehen" stelle die Kompetenz der bei Microsoft für den Fall Verantwortlichen ernsthaft in Frage.

Infos zum Thema IT-Security finden Sie im aktuellen tecCHANNEL-Special Grundlagen der IT-Sicherheit. (jlu)