Interessante IE-Sicherheitspatches am Patch-Dienstag

Am Dienstag hat Microsoft anlässlich seines monatlichen Patchdays wieder ein ganzes Arsenal an Sicherheits-Updates veröffentlicht – zwölf insgesamt, um genau zu sein. Mit zwei der wichtigeren Patches werden Sicherheitsanfälligkeiten im Internet Explorer geschlossen: Die erste Internet Explorer-Schwachstelle, in der XSS-ähnliche Ergebnisse auf Grund einer Schwachstelle im Browser-Code festgestellt wurden, ist unter der Bezeichnung CVE-2011-0096 dokumentiert.

Die Bereitstellung des Patches erfolgt elf Tage nach Veröffentlichung der Sicherheitsempfehlung von Microsoft, in der zusammen mit einem „Fix-it“-Installer einige Abhilfemaßnahmen empfohlen wurden. Und 24 Tage nach dem Erscheinungsdatum des chinesischen E-Zine. Ursprünglich wurde der Bericht von dem Autor d4rkwind verfasst und in der 5. Ausgabe des chinesischen Magazins „Ph4nt0m Webzine 0x05″ veröffentlicht.

All jene, die kein Freund von Online-Übersetzung einer Website sind, haben die Möglichkeit, hier interessante Informationen über das Exploit abzurufen.

Microsofts CVE-Eintrag besagt: „Der MHTML-Protokoll-Handler in Microsoft Windows XP SP2 und SP3, Windows Server 2003 SP2, Windows Vista SP1 und SP2, Windows Server 2008 Gold, SP2 und R2 sowie Windows 7 interpretiert die MIME-formatierten Anforderungen für Inhaltsblöcke innerhalb eines Dokuments nicht korrekt, wodurch Remote-Angreifer Attacken mit siteübergreifender Skripterstellung (XSS) über eine entsprechende präparierte Website, die im Internet Explorer besucht wird, ausführen können.“

Die Veröffentlichung der Microsoft-Sicherheitsempfehlung (nicht des Bulletins) erfolgte am 28.01.2011, am letzten Freitag im Januar.

Am 28. Januar tauchte im Blog des Microsoft Security Research & Defense Teams ein Blogpost auf, der sie als „MHTML Script Injection“ beschrieb. „Für jeden Dienst, bei dem ein User-Input auf den Benutzer reflektiert werden kann, besteht ein gewisses Risiko. Dennoch sind die Auswirkungen eines Skripts, das in einen Dienst eingeschleust wurde, davon abhängig, wie der Dienst an sich implementiert wird. Daher handelt es sich bei den Auswirkungen zwar ein um Problem bezüglich der serverseitigen siteübergreifenden Skripterstellung, jedoch ist die Sicherheitsanfälligkeit clientseitig zu finden.“

Zwischenzeitlich stellte Microsoft eine „Fix-it“-Lösung bereit. Am 27. Januar von Microsoft digital erstellt, wurde sie am 28. Januar gepostet bzw. öffentlich zur Verfügung gestellt. Bei der Datei „MicrosoftFixit50602.msi“ handelte es sich um eine 649kb-Datei, die eine automatisierte Konfiguration der empfohlenen Problemumgehung durchführt, d.h. die Aktivierung der MHTML-Protokollsperrung, um die Ausführung von Skripts, wie Javascript, zu unterbinden. Die Ausführung des Fix-it involviert einige kleinere Nachteile: „Auswirkungen der Problemumgehung: Das MHTML-Protokoll wird eingeschränkt, um den Start des Skripts in allen Zonen innerhalb eines MHTML-Dokuments zu verhindern. Jede Anwendung, die MHTML verwendet, wird von dieser Problemumgehung betroffen sein. Skript in standardmäßigen HTML-Dateien ist nicht von dieser Problemumgehung betroffen.“ Da das Sicherheitspatch in der Zwischenzeit bereitgestellt wurde, können Nutzer, die die Fix-it-Lösung nicht in Anspruch genommen haben, diese ignorieren und das Patch installieren:

Interessant ist weiterhin die Sicherheitslücke im IE CSS Parser, die mittels eines neues Eleonore Exploit Pack Release, Version 6.3a, das am Tag 0 für über $2,000 verkauft wurde und einige neue Exploits sowie eine interessante Anti-Research- und -Nachverfolgungsfunktionalität beinhaltet, aktiv ausgenutzt wurde. Das Sicherheitsrisiko wurde von einem chinesischen Forscher bereits mindestens Ende November an die Öffentlichkeit gebracht.

Während dieser Blogeintrag geschrieben wird, hat auch Adobe einige relevante Patches veröffentlicht und darf sich ebenfalls im Club willkommen fühlen.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.