(Update) Sicherheitsempfehlung: Schwachstelle in MTHML betrifft alle Windows-Versionen
Microsoft untersucht derzeit eine öffentlich diskutierte
Schwachstelle, die in Zusammenhang mit dem Protocol Handler für MHTML (MIME
Encapsulation of Aggregate HTM) steht. Eine Sicherheitsempfehlung
(Update: Link zur deutschsprachigen Sicherheitsempfehlung eingefügt) erläutert weitere Details zur Schwachstelle und wie sich das von ihr ausgehende
Risiko eindämmen lässt.
Wird die Lücke mit Hilfe des Internet Explorers erfolgreich
missbraucht – indem es dem Angreifer beispielsweise gelingt, das Opfer auf
einen Link in einer E-Mail oder Chat-Nachricht klicken zu lassen –, kann der
Angreifer ein bösartiges Skript im Browser des potentiellen Opfers ausführen
lassen. Das Ergebnis ist dann ähnlich einer Cross-Site-Scripting-Attacke und es
droht unerwünschter Abfluss von Informationen. Derzeit sind Microsoft keine
aktiven Angriffe auf die beschriebene Lücke bekannt, wenngleich
Proof-of-Concept-Code bereits im Web kursiert.
Wichtig zu wissen: Die Lücke betrifft alle derzeit
unterstützten Windows-Versionen, inklusive der Server-Varianten (auch die
Itanium-Plattform). Wurde ein Windows Server 2008 mit der Installationsoption
Server Core installiert, ist das System nicht betroffen. Auch Internet Explorer auf
Windows Server 2003, Windows Server 2008 und Windows Server 2008 R2 ist in der
Standardeinstellung nicht betroffen, da hier die Verstärkte
Sicherheitskonfiguration aktiv ist. Ebenfalls nicht missbraucht werden können die Vorschaufenster von Outlook und
Outlook Express, da in der
Vorschau ActiveX deaktiviert ist. Erst wenn ein Anwender auf einen Link zu
einer bösartig modifizierten Website klickt, droht Gefahr durch das Skript.
Ab sofort steht ein FixIt zum Download
bereit, um das von der Schwachstelle ausgehende Risiko auf Client-PCs zu
minimieren. Microsoft arbeitet derzeit an einem Sicherheitsupdate, das
baldmöglich im Rahmen des monatlichen Updatezyklus über Windows Update bereit
stehen wird. Die bislang bekannten Informationen rund um die Schwachstelle
rechtfertigen derzeit kein Update außer der Reihe (Out of Band). Untersucht
werden ebenfalls Möglichkeiten, um das Ausnutzen der Schwachstelle schon auf
dem Webserver zu unterbinden. Wobei hierbei zu beachten ist, dass verschiedene
Webseiten unterschiedliche Anforderungen stellen hinsichtlich der Absicherung.