Neue Bedrohung stellt den Internet Explorer bloß

Die Befürworter von Microsoft-Rechnern betonen bis heute, wie großartig die Verwendung einer hochgradig integrierten Software doch sei, die sowohl umfangreiche Funktionen mitbringt, als auch einfach in der Anwendung ist. Aber die Desktop-Anwendungen von Microsoft bieten nach wie vor durchaus nicht ein Höchstmaß an Sicherheit.

Zwei ernst zu nehmende Bedrohungen
Die erste dieser beiden Schwachstellen hat Thor Larholm aufgedeckt, Entwickler beim dänischen Internet-Portal Jubii.dk. Nach Larholm besteht diese Schwachstelle, durch die für einen Angreifer sämtliche Cookies zugänglich werden können, ironischerweise gerade darin, wie der IE das Datenschutz-Dialogfenster einsetzt, welches zur Anzeige des Datenschutzstatus‘ einer Webseite verwendet werden kann. (Im IE 6.0 wurde die Sicherheit angeblich verbessert, denn er kann auf Grund der Angaben zum Datenschutzstatus einer Webseite Zugriffsentscheidungen treffen.)

Microsoft hat zwar erst kürzlich einen Patch (MS02-015) für den IE zur Verfügung gestellt, der sich mit diesem Problem befasst, aber der behebt es offenbar nur unvollständig. Larholm gibt an, dass die von ihm entdeckte Schwachstelle auch in Programmen mit dem Patch weiter besteht. Wie ich das schon in einem meiner früheren Artikel beschrieben habe, war MS02-015 ein Sammel-Patch, der unter anderem zwei neue Routinen zu Fehlerbeseitigung enthielt. Eine davon sollte ein ähnliches Problem beheben wie das, das Larholm beschreibt.

Laut einem Bericht von Wired war Microsoft am 25. März 2002 von dem schwedischen Maschinenbau-Studenten Andreas Sandblad über eine völlig andere Schwachstelle (die ich als Bedrohung durch die Schaltfläche Aktualisieren/Zurück bezeichnen würde) informiert worden. Diese Schwachstelle kann von jedem, der im IE die Schaltfläche Zurück benutzt, initiiert werden.

Den Berichten zufolge funktioniert sie folgendermaßen: Wenn beim Laden einer Seite die Standardfehlermeldung erscheint, dann wird diese Meldung in der Mein Computer-Zone mit den niedrigsten Sicherheitseinstellungen geladen. Durch das Anklicken der Schaltfläche wird die vorhergehende Seite erneut aufgerufen, allerdings können die Sicherheitseinstellungen des IE dabei in der sicheren Mein Computer-Zone verbleiben und es somit bösartigen JavaScript-Programmen ermöglichen, unmittelbar abzulaufen.

Laut Wired-Bericht gab Sandblad an, dass er ursprünglich dachte, dieser Fehler träte nur beim Anklicken der Schaltfläche Aktualisieren auf, und dass er Microsoft schon im vergangenen Jahr auf diese Schwachstelle hingewiesen hätte. Sandblad erklärte weiter, dass Microsoft einige Monate später auf seine Hinweise im Wesentlichen mit der Aussage reagierte, dass die Schwachstelle nicht so bedeutend wäre, dass gleich eine Korrektur nötig sei.

Als er dann auch noch bemerkte, dass das Problem bei Verwendung der Zurück-Schaltfläche ebenfalls auftritt, und Microsoft diesbezüglich informierte, antwortete ihm das Unternehmen, es denke über einen Patch nach. Er warnte Microsoft, dass er damit an die Öffentlichkeit ginge, falls diese klaffende Lücke im IE nicht geschlossen würde, erhielt darauf aber nie eine Antwort. Am Abend des 14. April 2002 schickte Sandblad dann eine Demonstration dieser Schwachstelle an die Mailing-Liste BugTraq.

Weil die Schwachstelle nur in Interaktion mit einem Benutzer auftritt, erklärte Microsoft, dass das Unternehmen diese nicht als eine „Sicherheitslücke“ im engeren Sinne betrachte.