Jetzt doch: Microsoft will URI-Lücke flicken

11.10.2007
Microsoft plant, einen viel diskutierten Bug im Windows-Betriebssystem zu beheben, der für eine Reihe kritischer Schwachstellen in Windows-Programmen verantwortlich gemacht wird.

Der Fehler liegt in der URI-Technik (Uniform Resource Identifier), die Windows zum Ausführen von Programmen - etwa E-Mail- oder Instant-Messaging-Clients - aus dem Web-Browser heraus verwendet.

Im Juli hatte der dänische Hacker Thor Larholm demonstriert, wie sich mit Hilfe der URI-Technik aus dem Microsoft-Browser Internet-Explorer heraus manipulierter Code an Mozillas Firefox übermitteln und ausführen ließ. Andere Sicherheitsexperten hatten herausgefunden, dass sich die URI-Lücke in einer Vielzahl verbreiteter Programme ausnutzen lässt – unter anderem Firefox, Outlook Express 6 sowie Adobe Reader 8.1.

Seither wurde diskutiert, wer für die Behebung des Fehlers zuständig ist: Einige Sicherheitsexperten vertraten die Meinung, das Windows-Betriebssystem sollte in der Lage sein, Links genauer auf ihre Vertrauenswürdigkeit zu überprüfen. Andere wiederum meinten, das Problem sei nicht von Microsoft allein zu lösen, da viele Windows-Programme gegen einen Start aus einem Browser heraus nicht abgesichert seien. Microsoft selbst hingegen sah die Entwickler der betroffenen Windows-Programme diesbezüglich in der Pflicht.

Mittlerweile hat der Softwarekonzern seine Meinung offenbar geändert: "Seit wir mit der Untersuchung dieses Problems im Juni begonnen haben, wurde viel darüber diskutiert, wie es sich potenziell für Angriffe nutzen lässt", schrieb Jonathan Ness gestern im Blog von Microsofts Security Response Center (MSRC). Um der Verwirrung rund um das Thema zu begegnen, habe Microsoft ein Security-Advisory veröffentlicht, in dem es seine Kunden über die damit verbundenen Risiken aufkläre und sie wissen lasse, dass der Softwarekonzern an einem Sicherheits-Update arbeite.

Inwieweit das Update diese Bugs beheben wird, hängt nach Meinung von Nathan McFeters, Sicherheitsforscher bei Ernst & Young Global, der das Phänomen eingehend untersucht hat, davon ab, wie Microsoft die entsprechenden Modifikationen implementieren wird. Alle damit verbundenen Fehler könne der Softwareanbieter nicht beheben. So sei es beispielsweise unmöglich für Microsoft, die kürzlich von ihm und Billy Rios entdeckte Lücke in Googles Fotoalben-Software Picasa zu schließen. "Der Picasa-Fehler basiert auf einer beabsichtigten Funktionalität der Software", so McFeters. Microsoft könne schließlich nichts daran ändern, dass die Art , wie diese URI verwendet werden, Fehler verursachen könne. Wann der Patch veröffentlicht wird, steht noch nicht fest. (kf)