Wie die Sicherheitsexperten Billy Rios und Nathan McFeters (Ernst & Young Global) unabhängig voneinander herausfanden, sind viele weit verbreitete Windows-Applikationen von der Lücke betroffen. Der dänische Hacker Thor Larholm hatte Mitte Juli aufgezeigt, wie mit dem URI-Protokoll aus dem Microsoft Internet Explorer heraus ungeprüfter Code an Mozilla Firefox übergeben und ausgeführt werden konnte. Durch diese Lücke sei es laut Larholm allgemein möglich, ungeprüfte Software auf jedem Rechner zum Laufen zu bringen.
Rios' und McFeters' Recherchen untermauern diese These nicht nur, sie weiten sie noch aus. So gebe es Dutzende von Möglichkeiten, den Fehler auszunutzen und darüber hinaus Daten vom angegriffenen Rechner zu stehlen. Weil viele verbreitete Windows-Programme gegen einen Start aus dem Internet Explorer oder einem anderen Browser heraus nicht abgesichert sind, kann das Problem nicht durch einen Microsoft-Patch allein gelöst werden, wie es Mozilla nach den Firefox-Recherchen von Larholm gefordert hatte. Im Gegenteil: Viele Software-Entwickler bauten in ihre Programme die Möglichkeiten des URI-Zugriffs gar explizit ein: "Wir verstehen nicht, wie Dritt-Applikationen den unsicheren Aufruf durch das URI-Protokoll überhaupt zulassen können", sagte McFeters. Firefox beispielsweise arbeitete lange mit einem Programmbestandteil namens "FirefoxURL", der den Aufruf des Browsers aus dem Internet Explorer ermöglichte. Mozilla patchte die Lücke zwei Wochen nach Bekanntwerden des Problems. "Wenn selbst Mozilla Probleme damit hat, die Komplexität und Risiken des URI-Protokolls nachzuvollziehen – wie schwer muss es dann erst für kleinere Software-Schmieden sein", warnte McFeters vor dem unbedachten Gebrauch von Software in den kommenden Monaten. Viele Entwickler hätten beim Einbau der Windows-Funktion nicht auf deren Gefahr geachtet, da die Vorteile der URI-Technologie nicht von der Hand zu weisen seien, so McFeters weiter. Durch die Eingabe von "aim:goin" in der Adresszeile ließe sich im Internet Explorer beispielsweise direkt ein Chatfenster des auf dem gleichen System installierten AOL Instant Messengers aufrufen – eine derart benutzerfreundliche Verknüpfung von Applikationen gestalte vieles einfacher und werde deshalb oft und gerne verwendet.
In der Industrie geht derweil die Angst um: Für Eric Schultze von Shavlik Technologies ist URI "ein Traum für Hacker und ein Alptraum für Programmierer". Seiner Meinung nach werden Hacker in den kommenden sechs bis neun Monaten viele verschiedene Wege einschlagen, um Standard-Software mit nicht-standardisierten Funktionen auszustatten. Die URI-Erfinder werden sich derweil am Ausbessern der Lücken nicht beteiligen: Microsoft-Sicherheitsmanager Mark Griesi fordert die Entwickler der unsicheren Programme auf, entsprechende Patches zeitnah selbst zu veröffentlichen. "Es ist nicht Microsofts Aufgabe, den Torwächter für jede mögliche Dritt-Software zu spielen", so Griesi. (sh)
