Dauerhafte Einträge
Sicherheitswarnung! Lücke in Internet Explorer ermöglicht das Auslesen von lokalen Dateien [Update]
Microsoft warnt im Security Advisory 980088 (deutschsprachig) vor einer neu bekannt gewordenen Sicherheitslücke in Internet Explorer (IE) 6, IE7 und IE8 unter allen unterstützten Windows Versionen (Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 und Windows Server 2008 R2), über die sich beim Besuch einer entsprechend präparierten Website Dateien aus dem lokalen System auslesen lassen (Informationsausspähung / Information Disclosure).
Ausnutzen lässt sich diese Sicherheitslücke über einen Fehler im "file://"-Potokoll, über welches auch über den Internet Explorer der Zugriff auf lokale Dateien ermöglicht wird. Ist der Speicherort einer lokal auf dem System liegenden Datei bekannt und wird der Pfad im UNC-Format angegeben und kommt auf einer präpartierten Website bestimmter JavaScript-Code zum Einsatz, lässt sich die Datei von außen auslesen. Diese Sicherheitslücke soll sich durch den "Geschützen Modus", in dem die "Internet"-Zone des Internet Explorer unter Windows Vista, Windows Server 2008, Windows 7 und Windows Server 2008 R2 standardmäßig ausgeführt wird, nach Microsoft-Angaben nicht ausnutzen lassen. Gleichwohl besteht die Sicherheitslücke grundsätzlich auch unter diesen Systemen, wenn der Internet Explorer zum Einsatz kommt bzw. Anwendungen auf dessen Mechanismen zurückgreifen.
Öffentlich bekannt gemacht wurde diese Sicherheitslücke auf der Black Hat Sicherheitskonferenz. Detaillierte technische Beschreibungen der Lücke finden sich u.a. bei "Core Security Technologies", bei der die Entdecker der Lücke Jorge Luis Álvarez Medina und Federico Muttis beschäftigt sind. Diese Sicherheitslücke firmiert auch unter dem CVE-Namen CVE-2010-0255.
Microsoft arbeitet nach eigenen Angaben an einem Sicherheitsupdate. [Update] In einem weiteren Eintrag im MSRC-Blog teilt Microsoft mit, dass mit der Veröffentlichung eines Sicherheitsupdates, welches diese Lücke schließen soll, nicht am 09. Februar 2010 zu rechnen sei, dem nächsten regulären Patch-Day (jeden zweiten Dienstag im Monat). [/Update]
Abhilfe bis zur Beseitigung der Sicherheitslücke:
Als wirkungsvollsten Workaround empfiehlt es sich ab Windows XP aufwärts, über den "Internet Explorer Network Protocol Lockdown"-Mechanismus das automatische Ausführen von ActiveScriping (u.a. JavaScript) und ActiveX über das file://-Protokoll zu unterbinden. Microsoft stellt hierzu im MS-KnowlegeBase-Artikel KB980088 eine halbautomatische "Fix it!"-Lösung bereit.
Alternativ empfiehlt Microsoft einmal mehr das Heraufsetzen der Sicherheitsstufe für die "Internet" und "Intranet"-Zonen auf "Hoch" in den Internetoptionen über "Sicherheit -> Stufe anpassen". Damit wird das Ausführen von JavaScript in den jeweiligen "Zonen" durch den Internet Explorer unterbunden.
Ausnutzen lässt sich diese Sicherheitslücke über einen Fehler im "file://"-Potokoll, über welches auch über den Internet Explorer der Zugriff auf lokale Dateien ermöglicht wird. Ist der Speicherort einer lokal auf dem System liegenden Datei bekannt und wird der Pfad im UNC-Format angegeben und kommt auf einer präpartierten Website bestimmter JavaScript-Code zum Einsatz, lässt sich die Datei von außen auslesen. Diese Sicherheitslücke soll sich durch den "Geschützen Modus", in dem die "Internet"-Zone des Internet Explorer unter Windows Vista, Windows Server 2008, Windows 7 und Windows Server 2008 R2 standardmäßig ausgeführt wird, nach Microsoft-Angaben nicht ausnutzen lassen. Gleichwohl besteht die Sicherheitslücke grundsätzlich auch unter diesen Systemen, wenn der Internet Explorer zum Einsatz kommt bzw. Anwendungen auf dessen Mechanismen zurückgreifen.
Öffentlich bekannt gemacht wurde diese Sicherheitslücke auf der Black Hat Sicherheitskonferenz. Detaillierte technische Beschreibungen der Lücke finden sich u.a. bei "Core Security Technologies", bei der die Entdecker der Lücke Jorge Luis Álvarez Medina und Federico Muttis beschäftigt sind. Diese Sicherheitslücke firmiert auch unter dem CVE-Namen CVE-2010-0255.
Microsoft arbeitet nach eigenen Angaben an einem Sicherheitsupdate. [Update] In einem weiteren Eintrag im MSRC-Blog teilt Microsoft mit, dass mit der Veröffentlichung eines Sicherheitsupdates, welches diese Lücke schließen soll, nicht am 09. Februar 2010 zu rechnen sei, dem nächsten regulären Patch-Day (jeden zweiten Dienstag im Monat). [/Update]
Abhilfe bis zur Beseitigung der Sicherheitslücke:
Als wirkungsvollsten Workaround empfiehlt es sich ab Windows XP aufwärts, über den "Internet Explorer Network Protocol Lockdown"-Mechanismus das automatische Ausführen von ActiveScriping (u.a. JavaScript) und ActiveX über das file://-Protokoll zu unterbinden. Microsoft stellt hierzu im MS-KnowlegeBase-Artikel KB980088 eine halbautomatische "Fix it!"-Lösung bereit.
Alternativ empfiehlt Microsoft einmal mehr das Heraufsetzen der Sicherheitsstufe für die "Internet" und "Intranet"-Zonen auf "Hoch" in den Internetoptionen über "Sicherheit -> Stufe anpassen". Damit wird das Ausführen von JavaScript in den jeweiligen "Zonen" durch den Internet Explorer unterbunden.
Trackbacks
Trackback-URL für diesen Eintrag
Keine Trackbacks
Kommentare
Ansicht der Kommentare:
(Linear | Verschachtelt)
Hallo Freudi,
es sei mir folgende Bemerkung gestattet: Lt. Heise online "sind Anwender von Windows XP Home von dem Problem vermutlich nicht betroffen, da es dort keine versteckte administrative Freigabe C$ gibt, auf die eine Webseite zugreifen könnte".
Gruß
Heiko
es sei mir folgende Bemerkung gestattet: Lt. Heise online "sind Anwender von Windows XP Home von dem Problem vermutlich nicht betroffen, da es dort keine versteckte administrative Freigabe C$ gibt, auf die eine Webseite zugreifen könnte".
Gruß
Heiko
Moin Heiko,
es ist dieses ominöse "vermutlich", was mich davon abhält, eine entsprechende Anmerkung im Artikel zu machen.
Bye,
Freudi
es ist dieses ominöse "vermutlich", was mich davon abhält, eine entsprechende Anmerkung im Artikel zu machen.
Bye,
Freudi
Doch, die administrativen Freigaben gibt es auch bei XP. Ich kann es mit Gewissheit sagen, da ich nie Verzeichnisse reigebe sondern immer nur mit den administrativen Freigaben arbeiten.
Ob es nun bwi XP den Sondernfall gibt, dass auf diese administrativen Freigaben aufgrund des Bugs nicht zugegriffen werden kann, vermag ich nicht zu beurteilen.
Ob es nun bwi XP den Sondernfall gibt, dass auf diese administrativen Freigaben aufgrund des Bugs nicht zugegriffen werden kann, vermag ich nicht zu beurteilen.
Hallo Frank,
es handelt sich in meinem Beitrag aber um die "HOME EDITION" von Windows-XP, nicht um die "Professional".
Gruß
Heiko
es handelt sich in meinem Beitrag aber um die "HOME EDITION" von Windows-XP, nicht um die "Professional".
Gruß
Heiko
