Neue Bedrohung stellt den Internet Explorer bloß

Der von Larholm demonstrierte Angriff auf seine Webseite macht es der angreifenden Webseite möglich, ihre Programme auf dem System des Benutzers zu starten und gleichzeitig Nachrichten an weitere Benutzer aus der Adressliste des MSN Messengers des Opfers zu verschicken. Larholm berichtet, dass diese Lücke es dem Angreifer ermögliche, sämtliche Cookies auf dem Zielsystem einzusehen, liefert für diesen Teil der Bedrohung allerdings keinen Beweis. Dennoch kann durch diese Lücke erheblicher Schaden angerichtet werden, weshalb ich sie auch als kritisch einstufe.

Ich schätze auch die Aktualisieren/Zurück-Schwachstelle, die Sandblad aufgedeckt hat, als kritisch ein, weil sie es ermöglicht, das angreifende JavaScript-Progamme ziemlich leicht ausgeführt werden können.

Verbreitung
Larholm ist schließlich mit dieser Schwachstelle im Zusammenhang mit einem Bericht von Newsbytes an die Öffentlichkeit gegangen, als er das Gefühl hatte, das Sicherheitsteam von Microsoft ließe die ganze Angelegenheit schleifen. Er informierte das Unternehmen am 18. März 2002 darüber, dass er den Fehler an folgenden Stellen gefunden hat:

• IE6 SP1 bei Win 2000 SP2 mit allen Patches.
• IE6 SP1 bei Windows 98 mit allen Patches.
• IE6 SP1 bei Windows 98 SE mit allen Patches.

Da die Schwachstelle in der Überwachungsfunktion des WebBrowsers besteht, tritt sie bei IE, Outlook und Outlook Express auf.

Auch GreyMagic aus Israel hat inzwischen berichtet, dass man die Hinweise von Larholm nachvollzogen und frühere Versionen des Internet Explorers getestet hat. Laut deren Webseite ist eine ähnliche, aber nicht identische Sicherheitslücke an folgenden Stellen zu finden:

• IE5 SP2 NT4 SP6a mit allen Patches.
• IE5.5 SP2 NT4 SP6a mit allen Patches.
• IE6 SP1 Win 2000 SP2 mit allen Patches.

GreyMagic berichtet, dass der von ihnen entdeckte Schwachpunkt im IE 5.0 periodisch und im IE 5.5 und IE 6.0 ständig auftritt.

Sandblad fand den Fehler an der Aktualisieren/Zurück-Schaltfläche im IE 6.0, wenn dieser unter Windows 2000 und XP läuft. Wired berichtet, dass dort im Verlaufe eigener Tests dasselbe Problem auch in verschiedenen Kombinationen aus IE 5.5 und 6.0 in Kombination mit diversen Versionen von Windows 98 und NT aufgetreten ist.

Dabei muss berücksichtigt werden, dass die Benutzer zunächst eine entsprechend bösartige Seite aufrufen müssen und dann den Angriffen ausgesetzt sind.

Arbeit an der Lösung
Zu dem Zeitpunkt, als dieser Bericht geschrieben wurde, hatte Microsoft noch auf keines dieser Probleme umfassend reagiert, sondern lediglich geäußert, man untersuche noch, ob überhaupt Handlungsbedarf bestehe. Für keine dieser Schwachstellen stand ein Patch zur Verfügung, aber zu dem Zeitpunkt, an dem Sie diesen Artikel lesen, kann das natürlich schon anders sein.

Larholm berichtete, dass die Deaktivierung von JavaScript das Auftreten der von ihm beschriebenen Sicherheitslücke verhindern würde. GreyMagic hingegen gab keine Lösung für die von ihnen aufgedeckten Probleme bekannt, geht jedoch auf dem Teil seiner Webseite, der sich mit Bedrohungen beschäftig, detailliert auf die Programmierfehler ein.

Die einzige Möglichkeit zur Umgehung der Sicherheitslücke an der Aktualisieren/Zurück-Schaltfläche sehe ich darin, diese beliebte Browser-Funktion zu meiden. Trotzdem könnten Viren immer noch in der Lage sein, diese Lücke auszunutzen.