DVB-Cube BETA <<< Das deutsche PC und DVB-Forum >>>
PC-Ecke => # Security Center => Thema gestartet von: SiLæncer am 17 November, 2004, 17:07
-
Sicherheitslücke im Internet Explorer erlaubt das Tarnen von Programmdateien
Durch einen Programmfehler im aktuellen Internet Explorer lässt sich laut Secunia.com ein Sicherheitsmechanismus vom Service Pack 2 für Windows XP aushebeln, um eine bösartige Programmdatei als HTML-Datei zu tarnen. So können Nutzer dazu gebracht werden, ausführbare Programmdateien zu laden, obwohl sie dahinter unverdächtige HTML-Daten vermuten. Spezielle Sicherheitsfunktionen im Service Pack 2 sollten derartige Möglichkeiten eigentlich unmöglich machen.
Mit dem Windows XP Service Pack 2 wurde eine Sicherheitsfunktion in das Betriebssystem integriert, die den Nutzer warnt, sobald Daten mit einer bestimmten Dateiendung mit dem Internet Explorer herunter geladen werden. Dieser Warnhinweis erscheint aber nicht immer, wenn die betreffende Datei über einen speziell formatierten "Content-Location"-HTTP-Header versendet wird. Wird dieser Fehler mit der JavaScript-Funktion "execCommand()" kombiniert, lassen sich ausführbare Programmdateien als HTML-Dateien tarnen.
Angreifer könnten so ihre Opfer dazu bringen, Programmcode auf den eigenen Rechner zu laden, der sich als vermeintlicher HTML-Code ausgibt. Wird diese angebliche HTML-Datei dann ausgeführt, startet sich stattdessen eine ausführbare Programmdatei, was einem Angreifer eine umfassende Kontrolle über ein fremdes System verschaffen könnte. Zur Ausnutzung des Sicherheitslochs muss das Opfer die standardmäßig aktivierte Option "Erweiterungen bei bekannten Dateitypen ausblenden" selektiert haben.
Das Sicherheitsloch wurde für den Internet Explorer 6.0 unter dem Windows XP Service Pack 2 mit allen verfügbaren Patches bestätigt.
Quelle : www.golem.de
-
... Zur Ausnutzung des Sicherheitslochs muss das Opfer die standardmäßig aktivierte Option "Erweiterungen bei bekannten Dateitypen ausblenden" selektiert haben...
Das ist aiuch die Krönung überhaupt, die Leute werden dazu gebracht, nur noch Icons zu erkennen, sozusagen Windows für Analphabeten. Also bitte niemals so lassen, Icons kann fast jedes Kind verändern und rumms...
Endungen sind allerdings seit der Erfindung von Mime-Types auch nicht gerade sicher, bei Dateien fremder Herkunft ist IMMER Misstrauen angesagt.
-
unglaublich, wieviele macken eigentlich noch >:( ???
die gates company sollte echt in die schweiz umziehen ;D
-
...gehört die denen nicht schon?
Auf jeden Fall haben die bei M$ offensichtlich kein ernsthaftes Interesse an Sicherheit. Das Service-Pack 2 hatte wahrhaftig genug Vorlaufzeit, um mit einem Team phantasievoller (Hobby- und Profi-)Hacker auf Herz und Nueren zu testen.
Gerade wenn man die Quellcodes zur Verfügung hat, sollte man seine Zeit nicht nur damit verbringen, Spyware einzubauen, Kunden statt an ihr Ziel auf eigene Seiten zu leiten, das bombastischte Bunt aller Zeiten als Neuerung zu verkaufen usw. etc. pp., sondern sein Produkt primär auf Funktions- und Betriebssicherheit zu prüfen. Sonst droht nämlich die Codebasis inkonsistent zu werden, und das zufällige Zusammentreffen "kleiner, unkritischer" Fehler kann das ganze Projekt dauerhaft unbrauchbar oder zumindest vielfältig angreifbar machen. Das gilt insbesondere, wenn man im blinden Glauben an Wirtschaftlichkeitsrichtlinien zu schnell in den Markt geht und keine ausreichende Qualitätskontrolle vorschaltet.
Versteht eigentlich bei M$ niemand genug von HTML, um mit handgeschriebenem Code solche möglichen Lücken im Voraus zu suchen? Verfügen die über keine Testplattform, um ein laufendes Windows auf stimmige Handhabung z.B. von Buffern und Ausgaben zu überwachen, oder haben die etwa solche Tools selbst verbrochen und sind die zahlreichen Sicherheitsslücken daher auf eine fehlerhafte Entwicklungsumgebung zurückzuführen? Gibt's etwa keine klaren Richtlinien zur sauberen Programmierung und Verifikation der Einhaltung in deren Moloch?
Welcher Kaufmann ohne jede Ahnung von Sicherheit definiert eigentlich die Default-Einstellungen?
-
Und weiter geht's:
Neue Schwachstellen im Internet Explorer entdeckt
Sicherheitsspezialisten haben drei weitere Schwachstellen im Internet Explorer entdeckt. Eine davon lässt sich direkt zum Aushebeln einer Sicherheitsfunktion nutzen, die mit Service Pack 2 für Windows XP neu eingeführt wurde. Um später noch feststellen zu können, woher eine Datei stammt, markiert der Browser Dateien mit einer ZoneID nach dem Download -- allerdings nur, wenn der Anwender die Datei auf einer NTFS-Partition speichert. Beim Versuch eine aus dem Internet stammende Datei zu öffnen, zeigt Windows XP normalerweise einen Warnhinweis an. Hat der Server beim Download aber einen manipulierten Content-Location-Header gesendet, so wird unter bestimmten Umständen die ZoneID nicht richtig gesetzt. Öffnet der Anwender solch eine Datei, so erhält er keine Warnung. Dass die Abfrage der ZoneID nicht immer richtig funktioniert, meldete heise Security bereits Mitte August: Schwachstellen der neuen SP2-Sicherheitsfunktionen
Ein Fehler in der JavaScript-Funktion execCommand() erlaubt es, eine falsche Dateiendung im "HTML-Dokument speichern"-Dialog anzuzeigen. Dies setzt voraus, dass Windows die Endungen bekannter Dateitypen ausblendet -- was standardmäßig der Fall ist. Durch die Kombinationen der zwei genannten Fehler soll es unter Windows XP mit SP2 möglich sein, Anwendern eine als HTML-Datei getarnte ausführbare Datei unterzuschieben. Eine Interaktion des Benutzers ist aber notwendig. Abhilfe schafft das Deaktivieren von Active Scripting.
Mit dem dritten Fehler in Microsofts Browser lassen sich nach Angaben des Japaners Keigo Yamazaki Web-Sessions "entführen", mit der Angreifer Verbindung zu einem Zielserver ohne Authentifizierung aufnehmen können. Da der Internet Explorer bestimmte Zeichenketten nicht richtig überprüft, akzeptiert er Cookies mit präparierten Pfad-Attributen und überschreibt unter bestimmten Umständen bereits vorhandene Cookies anderer Sites. Allerdings muss bei diesem Angriff der bereits vorhandene Cookie den Domain-Namen des Angreifer-Cookies enthalten oder der Zielserver muss in einer Wildcard-Domäne laufen, wie sie beispielsweise die meisten Web-Hoster anbieten. Unter XP mit Service Pack ist der Fehler bereits behoben. Als Workaround schlägt Yamakazi vor, die automatische Cookie-Behandlung aufzuheben und per Eingabeaufforderung Cookies einzeln zuzulassen.
Quelle mit Links: http://www.heise.de/newsticker/meldung/53382
Meine Einschätzung ist klar, man sollte den IE keinesfalls auf's Internet loslassen. Es gibt genug Alternativen, auch kostenlose. Bitte nicht vergessen, Outlook (Express) benutzt ebenfalls den IE schon für Vorschau und zur Darstellung geöffneter HTML-Mails.
Jürgen
-
Meine Einschätzung ist klar, man sollte den IE keinesfalls auf's Internet loslassen. Es gibt genug Alternativen, auch kostenlose. Bitte nicht vergessen, Outlook (Express) benutzt ebenfalls den IE schon für Vorschau und zur Darstellung geöffneter HTML-Mails.
Jürgen
ganz meine meinung ...