Anforderung

Profi

Zeitaufwand

So schließen Sie die Sicherheitslücke beim DatenaustauschArbeiten Sie mit Datenauszügen, die es erlauben, einen markierten Textteil mit der Maus als Datei abzulegen? Word besitzt diese Funktion seit Version 95, einige andere Textverarbeitungen bieten inzwischen die gleiche Option an. Sobald solche "Scrap"-Dateien nicht von Ihnen selbst stammen, sollten Sie Vorsicht walten lassen.

Die PC-WELT kann einen bösen Windows- Schnitzer im Bereich OLE (Object Linking and Embedding) nachweisen. Der sogenannte Objekt-Manager (PACKAGER.EXE) erlaubt es, Befehlszeilen in OLE-Pakete einzupacken und in beliebige Windows-Anwendungen zu integrieren. Die Verfahrensweise ist einfach: Nach dem Start von PACKAER.EXE läßt sich mit "Bearbeiten, Befehlszeile" ein Befehl mit beliebigen Parametern definieren, anschließend mit "Symbol einfügen" ein Icon bestimmen und eventuell noch eine Beschriftung wählen ("Bearbeiten, Beschriftung"). Nach "Bearbeiten, Paket kopieren" können Sie das Paket dann in jede Windows-Anwendung einfügen ("Bearbeiten, Inhalte einfügen").Achtung: Jeder erfahrene Anwender erkennt, daß der Doppelklick auf ein solches OLE-Objekt dramatische Folgen haben kann. Die Befehlszeile, die sich hinter einem hübschen Icon und einer harmlosen Bezeichnung verbirgt, kann durchaus "deltree /y c:\*.*" oder schlimmer lauten. Aber die Tarnung eines solchen tödlichen Trojaners fliegt sofort auf, wenn Sie das Objekt vor dem Doppelklickmit "Paket bearbeiten Paket" inspizieren. Im Packager lesen Sie den Befehl im Klartext. Bei dubiosen Befehlsfolgen werden Sie den Doppelklick wohl unterlassen. Wegen des Trojaner-Risikos ist es unter Windows nicht vorgesehen, Pakete des Objekt-Managers als eigene Dateien abzulegen. Was ist aber, wenn ein Paket zunächst in eine Anwendung wie Word 95/97 oder Word Pro integriert und dann als "Datenauszug" einfach mit der Maus in ein Verzeichnis gezogen wird? Das funktioniert. Es entsteht eine Datei namens Scrap (die Dateiendung SHS wird nicht angezeigt) mit einem harmlosen Icon. Der Dateiname läßt sich nachträglich beliebig ändern. Eine solche Scrap-Datei, die eben keinen "Datenauszug" aus einer Textverarbeitung enthält, sondern ein Paket mit Befehlszeile, ist überaus gefährlich:1. Wer häufiger mit Datenauszügen arbeitet, wird getrost auf das Scrap-Objekt doppelklicken, weil dieser Dateityp bislang als harmloser Text gilt: kein Virenrisiko, kein Ausführen von Trojanern ...2. Es gibt selbst für vorsichtige Anwender keine vom System vorgesehene Möglichkeit, den Inhalt der Scrap-Datei zu überprüfen - eigentlich bleibt nur der fatale Doppelklick, um an ihn heranzukommen. Theoretisch wäre noch die Analyse mit einem simplen Editor oder einem Hex-Editor möglich - aber wer tut das schon?Die Konsequenz: Mißtrauen Sie allen Scrap-Dateien, die Sie auf Diskette bekommen oder die im Netzwerk herumstreunen und deren Herkunft Sie nicht kennen. Lassen Sie die Finger davon - oder gehen Sie folgenden Weg, der den Entwicklungsgang eines Trojaner-Scraps umkehrt: Öffnen Sie eine neue Datei in der Textverarbeitung, und ziehen Sie das Scrap-Objekt in das Dateifenster. Erscheint nun Text, war die Scrap-Datei das, was sie anständigerweise sein sollte. Erscheint statt Text ein Icon-Objekt, ist das verdächtig. Mit einem Rechtsklick auf das Objekt und den Kontextmenü-Befehl "Paket bearbeiten Paket" erhalten Sie Gewissheit über den Inhalt. Scrap-Trojaner sind übrigens nach einmaligem Aufruf gesperrt - das reicht freilich aus, um Ihre Festplatte aufzuräumen. Hintergrund ist die Tatsache, daß für ein als Scrap getarntes Paket kein zuständiger OLE-Server gefunden wird und der Objekt-Manager das Paket danach nicht mehr freigibt.

PC-WELT Marktplatz

723630