Microsoft kündigt Sicherheits-Update an

Vor einer „URL Handling“-Sicherheitslücke warnt Microsoft in dem neu veröffentlichten Security Advisory KB943521. Laut Angaben von Microsoft gibt es keine Hinweise, dass die Lücke von Angreifern ausgenutzt wird. Derzeit werde an einem Sicherheits-Update gearbeitet, das die Lücke schließen soll.

Von der Sicherheitslücke sind Windows XP und Windows Server 2003 betroffen, auf denen der Internet Explorer 7 installiert worden ist. Windows Vista (mit dem enthaltenen IE 7) ist dagegen nicht betroffen.

Das Problem besteht darin, dass Windows teilweise speziell gestaltete URLs oder URIs nicht korrekt verarbeitet, die vom Browser an das Betriebssystem weitergeleitet werden. Schuld daran ist eine durch die Installation von Internet Explorer 7 geänderte Windows-Komponente, die auch die Interaktion zwischen dem Browser und der Windows Shell beim Umgang mit URLs und URIs beeinflusst. Das hat zur Folge, dass nicht validierte und schädliche URLs oder URIs vom Browser zwar abgelehnt werden, dann aber an Windows weitergeleitet und dort fälschlicherweise doch ausgeführt werden. Ein Angreifer könnte dies ausnutzen, um die Kontrolle über das System zu übernehmen.

Gleich zwei aktuelle Blog-Einträge des Microsoft Security Response Center befassen sich mit der Sicherheitslücke. Darin räumt Microsoft ein, dass das Problem bereits seit einigen Wochen bekannt ist, man sich aber erst jetzt dazu entschieden hat zu reagieren, weil sich nach der ganzen Diskussion auch die Möglichkeit eines Angriffs erhöht hat. Durch das Update soll die betreffende Windows-Komponente (ShellExecute()) so geändert werden, dass sie manipulierte und potentiell gefährliche URLs oder URIs nicht mehr verarbeitet, sondern wie der Browser deren Verarbeitung ablehnt.