Donnerstag, 4. Februar 2010
Sicherheitswarnung! Lücke in Internet Explorer ermöglicht das Auslesen von lokalen Dateien [2. Update]
Microsoft warnt im Security Advisory 980088 (deutschsprachig) vor einer neu bekannt gewordenen Sicherheitslücke in Internet Explorer (IE) 6, IE7 und IE8 unter allen unterstützten Windows Versionen (Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 und Windows Server 2008 R2), über die sich beim Besuch einer entsprechend präparierten Website Dateien aus dem lokalen System auslesen lassen (Informationsausspähung / Information Disclosure).
Ausnutzen lässt sich diese Sicherheitslücke über einen Fehler im "file://"-Potokoll, über welches auch über den Internet Explorer der Zugriff auf lokale Dateien ermöglicht wird. Ist der Speicherort einer lokal auf dem System liegenden Datei bekannt und wird der Pfad im UNC-Format angegeben und kommt auf einer präpartierten Website bestimmter JavaScript-Code zum Einsatz, lässt sich die Datei von außen auslesen. Diese Sicherheitslücke soll sich durch den "Geschützen Modus", in dem die "Internet"-Zone des Internet Explorer unter Windows Vista, Windows Server 2008, Windows 7 und Windows Server 2008 R2 standardmäßig ausgeführt wird, nach Microsoft-Angaben nicht ausnutzen lassen. Gleichwohl besteht die Sicherheitslücke grundsätzlich auch unter diesen Systemen, wenn der Internet Explorer zum Einsatz kommt bzw. Anwendungen auf dessen Mechanismen zurückgreifen.
Öffentlich bekannt gemacht wurde diese Sicherheitslücke auf der Black Hat Sicherheitskonferenz. Detaillierte technische Beschreibungen der Lücke finden sich u.a. bei "Core Security Technologies", bei der die Entdecker der Lücke Jorge Luis Álvarez Medina und Federico Muttis beschäftigt sind. Diese Sicherheitslücke firmiert auch unter dem CVE-Namen CVE-2010-0255.
Microsoft arbeitet nach eigenen Angaben an einem Sicherheitsupdate. [2. Update] In einem weiteren Eintrag im MSRC-Blog teilt Microsoft mit, dass mit der Veröffentlichung eines Sicherheitsupdates, welches diese Lücke schließen soll, am 08. Juni 2010 zu rechnen sei, dem nächsten regulären Patch-Day (jeden zweiten Dienstag im Monat). [/2. Update]
Abhilfe bis zur Beseitigung der Sicherheitslücke:
Als wirkungsvollsten Workaround empfiehlt es sich ab Windows XP aufwärts, über den "Internet Explorer Network Protocol Lockdown"-Mechanismus das automatische Ausführen von ActiveScriping (u.a. JavaScript) und ActiveX über das file://-Protokoll zu unterbinden. Microsoft stellt hierzu im MS-KnowlegeBase-Artikel KB980088 eine halbautomatische "Fix it!"-Lösung bereit.
Alternativ empfiehlt Microsoft einmal mehr das Heraufsetzen der Sicherheitsstufe für die "Internet" und "Intranet"-Zonen auf "Hoch" in den Internetoptionen über "Sicherheit -> Stufe anpassen". Damit wird das Ausführen von JavaScript in den jeweiligen "Zonen" durch den Internet Explorer unterbunden.
Ausnutzen lässt sich diese Sicherheitslücke über einen Fehler im "file://"-Potokoll, über welches auch über den Internet Explorer der Zugriff auf lokale Dateien ermöglicht wird. Ist der Speicherort einer lokal auf dem System liegenden Datei bekannt und wird der Pfad im UNC-Format angegeben und kommt auf einer präpartierten Website bestimmter JavaScript-Code zum Einsatz, lässt sich die Datei von außen auslesen. Diese Sicherheitslücke soll sich durch den "Geschützen Modus", in dem die "Internet"-Zone des Internet Explorer unter Windows Vista, Windows Server 2008, Windows 7 und Windows Server 2008 R2 standardmäßig ausgeführt wird, nach Microsoft-Angaben nicht ausnutzen lassen. Gleichwohl besteht die Sicherheitslücke grundsätzlich auch unter diesen Systemen, wenn der Internet Explorer zum Einsatz kommt bzw. Anwendungen auf dessen Mechanismen zurückgreifen.
Öffentlich bekannt gemacht wurde diese Sicherheitslücke auf der Black Hat Sicherheitskonferenz. Detaillierte technische Beschreibungen der Lücke finden sich u.a. bei "Core Security Technologies", bei der die Entdecker der Lücke Jorge Luis Álvarez Medina und Federico Muttis beschäftigt sind. Diese Sicherheitslücke firmiert auch unter dem CVE-Namen CVE-2010-0255.
Microsoft arbeitet nach eigenen Angaben an einem Sicherheitsupdate. [2. Update] In einem weiteren Eintrag im MSRC-Blog teilt Microsoft mit, dass mit der Veröffentlichung eines Sicherheitsupdates, welches diese Lücke schließen soll, am 08. Juni 2010 zu rechnen sei, dem nächsten regulären Patch-Day (jeden zweiten Dienstag im Monat). [/2. Update]
Abhilfe bis zur Beseitigung der Sicherheitslücke:
Als wirkungsvollsten Workaround empfiehlt es sich ab Windows XP aufwärts, über den "Internet Explorer Network Protocol Lockdown"-Mechanismus das automatische Ausführen von ActiveScriping (u.a. JavaScript) und ActiveX über das file://-Protokoll zu unterbinden. Microsoft stellt hierzu im MS-KnowlegeBase-Artikel KB980088 eine halbautomatische "Fix it!"-Lösung bereit.
Alternativ empfiehlt Microsoft einmal mehr das Heraufsetzen der Sicherheitsstufe für die "Internet" und "Intranet"-Zonen auf "Hoch" in den Internetoptionen über "Sicherheit -> Stufe anpassen". Damit wird das Ausführen von JavaScript in den jeweiligen "Zonen" durch den Internet Explorer unterbunden.
Kommentare
Ansicht der Kommentare:
(Linear | Verschachtelt)
Hallo Freudi,
es sei mir folgende Bemerkung gestattet: Lt. Heise online "sind Anwender von Windows XP Home von dem Problem vermutlich nicht betroffen, da es dort keine versteckte administrative Freigabe C$ gibt, auf die eine Webseite zugreifen könnte".
Gruß
Heiko
es sei mir folgende Bemerkung gestattet: Lt. Heise online "sind Anwender von Windows XP Home von dem Problem vermutlich nicht betroffen, da es dort keine versteckte administrative Freigabe C$ gibt, auf die eine Webseite zugreifen könnte".
Gruß
Heiko
#1
am
05.02.2010 00:22
Moin Heiko,
es ist dieses ominöse "vermutlich", was mich davon abhält, eine entsprechende Anmerkung im Artikel zu machen.
Bye,
Freudi
es ist dieses ominöse "vermutlich", was mich davon abhält, eine entsprechende Anmerkung im Artikel zu machen.
Bye,
Freudi
Doch, die administrativen Freigaben gibt es auch bei XP. Ich kann es mit Gewissheit sagen, da ich nie Verzeichnisse reigebe sondern immer nur mit den administrativen Freigaben arbeiten.
Ob es nun bwi XP den Sondernfall gibt, dass auf diese administrativen Freigaben aufgrund des Bugs nicht zugegriffen werden kann, vermag ich nicht zu beurteilen.
Ob es nun bwi XP den Sondernfall gibt, dass auf diese administrativen Freigaben aufgrund des Bugs nicht zugegriffen werden kann, vermag ich nicht zu beurteilen.
#1.2
am
06.02.2010 21:21
Hallo Frank,
es handelt sich in meinem Beitrag aber um die "HOME EDITION" von Windows-XP, nicht um die "Professional".
Gruß
Heiko
es handelt sich in meinem Beitrag aber um die "HOME EDITION" von Windows-XP, nicht um die "Professional".
Gruß
Heiko
#1.2.1
am
10.02.2010 12:10
Hallo,
ob für bestimmte WEB-Sites ´Scripte´ und ´ActiveX´ (von/durch die jeweilige Site) erlaubt sein soll, scheint mir grundsätzliche ´Mit´-Arbeit zu sein.
(Grundsäztlich habe ich sämtliche riskanten IE (6)-Einstellungen (in den Internetoptionen) de-aktiviert:
(in ´Sicherheit´ 5 ´Stück´:) nicht sicheres ActiveX,
(2 Mal) Downloads von ActiveX (diese ersten 3 ´Sicherheits-halber´ auf ´Nachfragen´;
Scripte (& ActiveX-Downloads nochmal) im Browser ´Crazy Browser´ (mit 1 bis 2 Klicks ein- und ab-schaltbar);
(in ´Erweitert´) Automatische Überprüfung auf Aktualisierungen von IE,
Browsererweiterungen durch Dritt-Anbieter aktivieren,
(2 ´Stück´:) ´Installation (bei Bedarf) aktivieren´.)
Je nach Firewall lassen sich Scripte und ActiveX auch dort ein- und ausschalten.
Zudem - wieder je nach Firewall - für bestimmte einzelne Sites, ein oder aus.
Mit einem zusätzlichen (eigenem,) Benutzer-definierten Benutzer-Konto - neben dem Administrator-Konto - für das Schreib-Zugriff nur für die ´Temporary Internet Files´ (die Downloads der aufgerufenen WEB-Sites), sowie einen für beide Konten gemeinsam (für Schreib-Zugriff) zu nutzenden Ordner für Downloads sollte man (neben der weiteren Schutz-Software wie AntiViren-Tool usw.) schon ausreichend auf sicherer Seite sein.
Ein Tool wie das Kosten-freie ClearProg löscht die Surf-Spuren, Cookies, und Vieles mehr Überflüssiges.
Seltsam - und Anlaß meines Postings - finde ich jedoch, daß genau mit dieser Sicherheit bzw. mit diesen angeblichen SicherheitsLöchern, freenet.de und t-online.de, yahoo Teil-Weise auch (und Weitere vermutlich), hingehen und vorhandenen FreeMail-Account - und zwar erst nach dem Log-In - zu IE-Udpdate mindestens Version 7 erzwingen.
Und hier reicht es ihnen nicht, einfach nur ein Update zu empfehlen, sondern es wird gleich der gesamte eMail-Zugang blockiert und verweigert.
Das Fehlen normalerweise des IE ab 7 führt zu kleineren Darstellungs-Problemen in unwesentlichen Bereichen.
Damit schon leben sollen zu müssen (, daß auch Abwärts-Kompatiblität hier nicht nur nicht angedacht ist,) wird demokratisch selbst-bestimmt nicht zugestanden.
Hierzu muß man wissen, daß alle Windows-Versionen und NT Server-Varianten bis 98 SE, wahrscheinlich auch ME, betroffen sind, da IE7 für alle diese Systeme nicht möglich ist.
Ich finde, das ist ein Skandal.
(Hier gibt es eine technische Lösung:
http://www.windowspage.net/cgi-bin/board/YaBB.pl?num=1273245981/0
http://www.windowspage.net/cgi-bin/board/YaBB.pl?num=1273245981/15
)
(Bei Interesse kann ich eine Zusammenfassung der Lösung erarbeiten.)
Gruß
visionhelp
ob für bestimmte WEB-Sites ´Scripte´ und ´ActiveX´ (von/durch die jeweilige Site) erlaubt sein soll, scheint mir grundsätzliche ´Mit´-Arbeit zu sein.
(Grundsäztlich habe ich sämtliche riskanten IE (6)-Einstellungen (in den Internetoptionen) de-aktiviert:
(in ´Sicherheit´ 5 ´Stück´:) nicht sicheres ActiveX,
(2 Mal) Downloads von ActiveX (diese ersten 3 ´Sicherheits-halber´ auf ´Nachfragen´;
Scripte (& ActiveX-Downloads nochmal) im Browser ´Crazy Browser´ (mit 1 bis 2 Klicks ein- und ab-schaltbar);
(in ´Erweitert´) Automatische Überprüfung auf Aktualisierungen von IE,
Browsererweiterungen durch Dritt-Anbieter aktivieren,
(2 ´Stück´:) ´Installation (bei Bedarf) aktivieren´.)
Je nach Firewall lassen sich Scripte und ActiveX auch dort ein- und ausschalten.
Zudem - wieder je nach Firewall - für bestimmte einzelne Sites, ein oder aus.
Mit einem zusätzlichen (eigenem,) Benutzer-definierten Benutzer-Konto - neben dem Administrator-Konto - für das Schreib-Zugriff nur für die ´Temporary Internet Files´ (die Downloads der aufgerufenen WEB-Sites), sowie einen für beide Konten gemeinsam (für Schreib-Zugriff) zu nutzenden Ordner für Downloads sollte man (neben der weiteren Schutz-Software wie AntiViren-Tool usw.) schon ausreichend auf sicherer Seite sein.
Ein Tool wie das Kosten-freie ClearProg löscht die Surf-Spuren, Cookies, und Vieles mehr Überflüssiges.
Seltsam - und Anlaß meines Postings - finde ich jedoch, daß genau mit dieser Sicherheit bzw. mit diesen angeblichen SicherheitsLöchern, freenet.de und t-online.de, yahoo Teil-Weise auch (und Weitere vermutlich), hingehen und vorhandenen FreeMail-Account - und zwar erst nach dem Log-In - zu IE-Udpdate mindestens Version 7 erzwingen.
Und hier reicht es ihnen nicht, einfach nur ein Update zu empfehlen, sondern es wird gleich der gesamte eMail-Zugang blockiert und verweigert.
Das Fehlen normalerweise des IE ab 7 führt zu kleineren Darstellungs-Problemen in unwesentlichen Bereichen.
Damit schon leben sollen zu müssen (, daß auch Abwärts-Kompatiblität hier nicht nur nicht angedacht ist,) wird demokratisch selbst-bestimmt nicht zugestanden.
Hierzu muß man wissen, daß alle Windows-Versionen und NT Server-Varianten bis 98 SE, wahrscheinlich auch ME, betroffen sind, da IE7 für alle diese Systeme nicht möglich ist.
Ich finde, das ist ein Skandal.
(Hier gibt es eine technische Lösung:
http://www.windowspage.net/cgi-bin/board/YaBB.pl?num=1273245981/0
http://www.windowspage.net/cgi-bin/board/YaBB.pl?num=1273245981/15
)
(Bei Interesse kann ich eine Zusammenfassung der Lösung erarbeiten.)
Gruß
visionhelp
#1.3
am
26.05.2010 14:58
Dass vom Hersteller abgekündigte, sprich nicht mehr unterstützte Betriebsversionen keinen neuen Updates (auch keinen Sicherheitsupdates mehr) zur Verfügung gestellt werden, sollte nicht wirklich überraschen. Einmal ganz davon abgesehen, dass der IE7 heutzutage eher nicht mehr verwendet werden sollte (wenn schon IE, dann IE8).
Ich bin übrigens kein Anhänger von Verschwörungstheorien und auch keiner von überflüssigen "Personal Firewalls".
Bye,
Freudi
Ich bin übrigens kein Anhänger von Verschwörungstheorien und auch keiner von überflüssigen "Personal Firewalls".
Bye,
Freudi
Die Kommentarfunktion wurde vom Besitzer dieses Blogs in diesem Eintrag deaktiviert.
Kurzbeschreibung: Kumulatives Sicherheitsupdate, das u.a. eine kritische Lücke im in Windows XP SP3 standardmäßig enthaltenen Internet Explorer 6 schließen soll, durch die ein Angreifer in [...]
Aufgenommen: 09.06.2010 04:46
Kurzbeschreibung: Kumulatives Sicherheitsupdate, das Sicherheitslücken im Windows Internet Explorer 8 unter Windows XP schließen soll, durch die ein Angreifer in Windows-Systeme eindringen und [...]
Aufgenommen: 09.06.2010 05:00
Kurzbeschreibung: Wichtiges, kumulatives Sicherheitsupdate, das eine kritische Lücke im Windows Internet Explorer 7 unter Windows XP schließen soll, durch die ein Angreifer in Windows-Systeme [...]
Aufgenommen: 09.06.2010 05:20
Kurzbeschreibung: Kumulatives Sicherheitsupdate, das Sicherheitslücken im in Windows 7 standardmäßig enthaltenen Windows Internet Explorer 8 schließen soll, durch die ein Angreifer in [...]
Aufgenommen: 10.06.2010 05:42
Kurzbeschreibung: Wichtiges, kumulatives Sicherheitsupdate, das u.a. eine kritische Lücke in Internet Explorer 6 SP1 unter Windows 2000 schließen soll, durch die ein Angreifer in [...]
Aufgenommen: 10.06.2010 06:27