PCNINFO 97042a: Sicherheitsloch im MS Internet Explorer

Heute morgen (05.03.97) erreichte uns eine Mitteilung nber die
Mailing-Liste des DFN-CERT (zustEndig fuer Netzwerksicherheit im DFN). Es
wird darin eine Sicherheitslncke im Microsoft Information Explorerer
beschrieben, die in den Versionen 3.0 und 3.01 unter Win95 und WinNT
auftritt. Zur Zeit existiert nur fuer die englische Version des MS-IE ein
Bugfix, so dass wir dringend davon abraten, den Internet-Explorer zu
benutzen!

06.03.97
Es existiert inzwischen ein ein sogenanntes "Internet Explorer
Sicherheits-Update" auch fnr die deutsche Version. NEheres darnber findet
man auf dem Microsoft Webserver unter
http://www.microsoft.com/ie_intl/de/security/update.htm

Im folgenden geben wir Informationen ueber Einzelheiten dieser
Sicherheitslncke unveraendert an Sie weiter.

>Der Microsoft Internet Explorer 3.0 fuer Windows 95 und NT 4.0 enthaelt ein
>grosses Sicherheitsloch.
>
>Manipulationen auf der Festplatte des Users bis hin zur Formatierung
>moeglich.
>
>Schon vor ein paar Wochen hatte der Chaos Computer Club im ARD
>Fernsehmagazin Panorama
>eindrucksvoll demonstriert , wie man die ActiveX Technologie des Microsoft
>Internet Explorer 3.0 zu
>allerlei boesen Zwecken verwenden kann (bis hin zur nichtauthorisierten
>Geldueberweisung vom Konto
>des ahnungslosen Computerbesitzers!).
>
>Das Problem liess sich loesen, indem man die Sicherheitseinstellungen des
>Explorers auf den hoechsten
>Level stellte, oder ActiveX auschaltete.
>
>Das war aber verglichen mit dem jetzt entdeckten Bug wohl eher ein
>harmloses Sicherheitsrisiko.
>
>Ein paar Studenten des Polytechnischen Institutes in Worcester, USA haben
>herausgefunden, das man mit
>Hilfe von Code in HTML-Seiten Windows-Programme starten, Verzeichnisse
>oeffnen, erstellen oder loeschen
>kann.
>Der Anwender wird nicht per Windows-Systemmeldung gefragt, ob er das
>zulaessen moechte. Und das Ganze
>funktioniert ohne ActiveX  - auch in der hoechsten einstellbaren
>Sicherheitsstufe.
>
>Das schlimmste dabei: jeder - wirklich jeder, der HTML Seiten schreiben
>kann, kann auch den boesartigen
>Code integrieren. Ein ganz gewoehnlicher Link auf eine Datei mit der Endung
>"*.lnk" oder "*.url", die
>dann den eigentlichen Code aufruft, genuegt.
>
>Normalerweise dienen diese Shortcutdateien dazu, bei Windows 95 bzw. NT 4.0
>ein Symbol auf dem Desktop mit einem Programm oder einer Datei zu
>verbinden. Mit einem Click auf das Shortcut-Symbol wird dann das
>Programm ausgefuehrt.
>
>Und diese Shortcuts werden ohne Rueckfrage ausgefuehrt.
>
>Und diese Shortcuts werden ohne Rueckfrage ausgefuehrt.
>
>Mit Hilfe dieser Shortcuts lassen sich auch Batch-Dateien starten, die
>beispielsweise auch Dateien von
>der Festplatte auf einen Server uebertragen lassen- damit lassen sich im
>Grunde genommen auch die
>Festplatte ausspionieren.
>
>Einziges "Manko": der Spion muss wissen, wie die entsprechende Datei heisst
>und wo sie liegt.
>Um aber einfach nur Chaos zu verursachen, reicht es aus, die Autoexec.bat
>und die Config.sys zu
>loeschen - ausserdem befindet sich Windows auf den allermeisten Computern
>im Verzeichnis C:\windows und
>die meisten Programme werden per Voreinstellung meistens in C:\programme
>oder im Ordner Program files
>installiert.
>
>Unter NT 4.0 koennen funktioniert der Bug mit .lnk Dateien nicht.
>URL-Dateien koennen aber auch hier
>voellig ungehindert Programme starten.
>
>Mit den URL-Dateien kann man sogar bestimmte Dateien ausspaehen , um diese
>spaeter zu transferieren.
>
>Microsoft versicherte, das man in wenigen Tagen eine Loesung auf der
>Website
>http://www.microsoft.com veroeffentlichen wird.
>
>Bis dahin empfehle ich dringend, den Internet-Explorer nicht mehr zu
>verwenden.
>

---------------------------------------------------------------------------
DKRZ;  Web-Administration; 5. MErz 1997


Servus, Stefan