Windows-Anwendungen laden Code aus dem Netz

Ein inzwischen behobener Fehler in iTunes hat Sicherheitsforscher auf die Spur einer Sicherheitslücke gebracht, die offenbar viel weiter verbreitet ist. Windows-Programme, die externe Inhalte laden, suchen am gleichen Ort auch nach Programm-Code in Form einer DLL. Das können Angreifer ausnutzen, um schädlichen Code einzuschleusen.

Nach einer Sicherheitsmeldung von Acros Security steckt in iTunes 9.0.3 eine Sicherheitslücke, die sich zum Einschleusen von Code ausnutzen lässt. Apple hat die Lücke bereits vor einiger Zeit mit dem Update auf iTunes 9.1 geschlossen. Doch einmal auf der Spur, haben Sicherheitsforscher den gleichen Fehler in diversen anderen Windows-Programmen entdeckt. Der Metasploit-Gründer HD Moore will bereits 40 anfällige Anwendungen verschiedener Hersteller identifiziert haben, hat jedoch noch keine Details dazu veröffentlicht. Das könnte am Montag geschehen, wie Moore via Twitter angekündigt hat.

Windows-Anwendungen, zum Beispiel ein Media Player, können Inhalte (etwa Musik, Videos) aus dem Netzwerk laden, um sie anzuzeigen. Benötigt die Software eine externe Programmbibliothek (DLL), führt der Design-Fehler dazu, dass die Software versucht diese DLL von dort zu laden, woher auch der darzustellende Inhalt stammt.

Der Speicherort kann ein Freigabe im lokalen Netz sein, aber auch eine über WebDAV oder SMB ansprechbare Freigabe im Internet. Verleitet ein Angreifer ein potenzielles Opfer dazu etwa eine MP3-Datei aus einer solchen Quelle zu öffnen, kann er mit einer gewissen Wahrscheinlichkeit erwarten, dass die Anwendung auch seine präparierte DLL laden wird, die er an gleicher Stelle abgelegt hat. Sie muss allerdings den richtigen Dateinamen haben.

Der WebDAV-Client ist bei den meisten Windows-Installationen standardmäßig aktiv. Ihn zu deaktivieren beseitigt einen großen Teil der Angriffsfläche. Weitere Schutzvorkehrungen können darin bestehen den Zugriff auf Freigaben im Internet an der Firewall zu blockieren.