Web

Lecks in Sicherheitsfunktion des Windows XP SP2

19.08.2004

Microsoft hat mit dem Service Pack 2 die Sicherheitsfunktionen des Zonenmodells von Internet Explorer und Outlook Express erweitert. Dabei werden aus dem Internet heruntergeladene oder aus E-Mails gespeicherte Dateien mit einem Zone Identifier (ZoneID) markiert. Dieser gibt die Sicherheitszone an, aus der die Dateien stammen. Die ZoneIDs entsprechen den bekannten Sicherheitszonen des Internet Explorer.

Allerdings weist diese Funktion zwei Lecks auf, haben die Experten von Heise Security festgestellt. Zum einen ignoriert die Kommandozeilen-Shell "CMD" die ZoneID komplett, wodurch sich über die "Eingabeaufforderung" ohne Vorwarnung auch Code ausführen lässt, der aus einer unsicheren Zone stammt, so die Experten. Dies sei sogar dann möglich, wenn die Extension "exe", die ausführbare Dateien kennzeichnet, zum Beispiel in die Erweiterung "gif", die normalerweise Grafikdateien tragen, geändert werde.

Die zweite Lücke wird durch das Zwischenspeichern der ZoneIDs durch den Windows Explorer verursacht. Deutlich wird das an einem Beispiel: Die Standard-Datei "Notepad.exe" wird unter der Bezeichnung "harmlos.exe" kopiert. Danach wird die Schadroutine "Virus.exe" ebenfalls unter der Bezeichnung "harmlos.exe" kopiert, was die Notepad-Kopie überschreibt. In diesem Fall bleibt der "harmlos.exe" zunächst die ZoneID der sicheren Zone erhalten, obwohl es sich bei der Datei in Wahrheit um die schädliche Virus.exe handelt.

Erst nach einem Neustart des Explorers oder des Betriebssystems baut sich der Zwischenspeicher mit den korrekten ZoneIDs neu auf. Heise Security hat eigenen Angaben zufolge Microsoft am 12. August über das Problem informiert und die Antwort vom Security Response Center des Herstellers erhalten, dass kein Konflikt mit den Designzielen der neuen Schutzfunktionen gesehen werde. Patches oder Workarounds würden nicht entwickelt. (lex)