Kritische Sicherheitslücken im Internet Explorer
Ein während des Month of Browser Bugs gefundenes Problem im Internet Explorer kann diesen entgegen ersten Annahmen nicht nur zum Absturz bringen, sondern auch zum Ausführen von beliebigem Code genutzt werden. Microsoft hat das Problem nicht ernst genommen, so dass Anwender des MSIE wieder einmal erhöhtem Risiko ausgesetzt sind.
Der veröffentlichte Exploit funktioniert unter einem voll gepatchten Windows-XP-System mit Service Pack 2 und macht sich einen Buffer Overflow in dem ActiveX-Control „WebViewFolderIcon“ zunutze. Schon zur Zeit der Entdeckung des Bugs am 18. Juli vermutete H.D. Moore, dass sich dieser eventuell zu mehr nutzen lassen könnte, als den Internet Explorer nur zum Absturz zu bringen. Microsofts Ignoranz solchen potenziellen Sicherheitslücken gegenüber rächt sich somit erneut.
Zwei Tage nach der Bereitstellung eines Patches für die VML-Sicherheitslücke stehen Anwender des Internet Explorer nun also wieder vor dem Problem, dass ein Exploit für eine schwerwiegende Sicherheitslücke kursiert, ohne dass ein Patch in Sicht ist. Dies bestätigt die Aussagen des gestern veröffentlichten „Internet Security Threat"-Reports von Symantec, in dem Microsofts Internet Explorer durch eine lange Zeitspanne zwischen Veröffentlichung eines Exploits und der Bereitstellung eines Patches negativ auffällt.
Obendrein ist die „WebViewFolderIcon“-Sicherheitslücke nichtmal die einzige Schwachstelle in Microsofts Browser, die momentan aktiv ausgenutzt wird. Vor zwei Wochen hat sich auch das ActiveX-Control „DirectAnimation“ als löchrig herausgestellt – es ist anfällig für einen Pufferüberlauf auf dem Heap. Zunächst dachte man, dass nur chinesische Windows-Versionen betroffen seien, diese Einschränkung gilt nun aber nicht mehr. Microsoft hat ein Security Advisory inklusive Workaround veröffentlicht, ein Patch lässt jedoch noch auf sich warten.
Der Sicherheitsdienstleister Secunia stuft die beiden offenen Sicherheitslücken im Internet Explorer als „extrem kritisch“ ein. In beiden Fällen schafft das Deaktivieren von ActiveX („Internetoptionen“, Tab „Sicherheit“, Button „Stufe anpassen“ und dort sämtliche ActiveX-Optionen deaktivieren) Abhilfe. Bedenken sollte man dabei jedoch, dass Version 6 des Internet Explorers insbesondere das XMLHttpRequest-Objekt zum Scripten von HTTP-Anfragen (AJAX) nur bei aktiviertem ActiveX unterstützt, also die Funktionalität einiger Websites unter dem Deaktivieren von ActiveX leiden wird.
Einen möglichen Workaround für die „DirectAnimation“-Sicherheitslücke, der durch eine Änderung in der Registrierungsdatenbank von Windows lediglich dieses eine ActiveX-Control im Internet Explorer deaktiviert, beschreibt Microsoft in dem genannten Security Advisory im Abschnitt „Suggested Actions“. Dieser lässt sich unter Verwendung der beiden CLSIDs „{844F4806-E8A8-11d2-9652-00C04FC30871}“ und „{e5df9d10-3b52-11d1-83e8-00a0c90dc849}“ auch auf die „WebViewFolderIcon“-Sicherheitslücke übertragen.
Indem man den folgenden Code in den Windows Editor kopiert, als Datei mit der Endung Endung „.reg“ abspeichert, per Doppelklick öffnet und die folgende Warnung wegklickt, sollten die beiden kritischen ActiveX-Controls „DirectAnimation“ und „WebViewFolderIcon“ deaktiviert werden und das Surfen mit dem Internet Explorer zumindest vorübergehend wieder etwas sicherer sein. Wirkliche Abhilfe kann angesichts der immer wieder für mehrere Tage oder Wochen aktiv ausgenutzten Sicherheitslücken im Internet Explorer jedoch offenbar nur ein Umstieg auf Firefox oder Opera schaffen.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{D7A7D7C3-D47F-11D0-89D3-00A0C90833E6}]
"Compatibility Flags"=dword:00000400
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{844F4806-E8A8-11d2-9652-00C04FC30871}]
"Compatibility Flags"=dword:00000400
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{e5df9d10-3b52-11d1-83e8-00a0c90dc849}]
"Compatibility Flags"=dword:00000400