Huckepack-Problem Experten warnen vor massiver Windows-Sicherheitslücke

Vier Wochen, nachdem Apple ein Sicherheitsleck in der Windows-Version der iTunes-Software flickte, zeichnet sich ab, dass dieses Leck ein verbreiteter Fehler in der Windows-Software sein könnte. Über 200 Programme, behaupten IT-Experten, seien aktuell betroffen - möglicherweise weit mehr.

Ungeklärt: Sind neben alten Programmversionen auch aktuelle Programme betroffen?
AP

Ungeklärt: Sind neben alten Programmversionen auch aktuelle Programme betroffen?


Hamburg - Die Sicherheitslücke, über die die "Computerworld" seit Mittwoch berichtet, sorgte hinter den Kulissen schon seit März für Unruhe: Aufgefallen war sie zuerst in der Windows-Version von iTunes, Apple stopfte das Leck vor vier Wochen mit dem Programm-Update zu Version 9.2.1, das Problem schien damit gelöst. Jetzt aber, behauptet ein IT-Sicherheitsexperte, zeichne sich ab, dass das betreffende Leck in Wahrheit ein weit verbreitetes, generelles Sicherheitsproblem in für die Microsoft-Betriebssysteme geschriebenen Programmen sei.

HD Moore, Kopf der IT-Sicherheit bei Rapid7, einem kleinen, aber renommierten, auf das Aufspüren von Netzwerk-Sicherheitsverletzungen spezialisierten Unternehmen, hatte die bisher nur in Verbindung mit iTunes bekannte Sicherheitslücke näher unter die Lupe genommen. Bis zum Mittwoch fand er 40 Programme, die das gleiche Leck aufwiesen. Am Folgetag legte Acros Security, das slowenische Unternehmen, das im Frühjahr die Sicherheitslücke bei iTunes entdeckt hatte, nach. Schon über 200 betroffene Programme und Applikationen habe man gefunden, behauptet Acros-Chef Mitja Kolsek, es deute einiges darauf hin, dass "so gut wie alle Windows-Applikationen" betroffen sein könnten.

Moore stuft das Leck als Zero Day Exploit ein - als direkt einsetzbare Sicherheitslücke, gegen die Microsoft noch keinen Schutz entwickelt habe. Ob die Lücke schon ausgenutzt wurde, ist nicht bekannt. Das Nutzen des Lecks schätzen Moore und Kolsek einhellig als trivial ein, die Entwicklung eines Flicken hingegen als Mammut-Aufgabe: Im schlimmsten Fall brauche man für jedes der betroffenen Programme einen eigenen Flicken.

Ein Huckepack-Problem

Das Leck beruht offenbar auf einem grundsätzlichen Fehler, wie Windows sogenannte DLL-Dateien aus anderen Programmen lädt und verarbeitet. Im Fall der iTunes-Lücke konnten MP3-Dateien mit DLL-Dateien auf einem externen Server verbunden werden: Der Aufruf der MP3-Datei initiierte das Öffnen der potentiell Schadcode enthaltenen DLL. Auf diesem Prinzip fußt das Sicherheitsproblem auch grundsätzlich - es geht um die Verknüpfung einer als sicher eingestuften Datei mit einer DLL, die dann quasi huckepack Schadcode auf den Rechner des Opfers überträgt.

DLLs sind so genannte Bibliotheksdateien. Sie laden Daten und Informationen, die ein Programm zu seiner Ausführung braucht, in Form einer Datei aus, statt mit diesen Daten den Arbeitsspeicher permanent zu belasten. Abgerufen werden sie dann im Bedarfsfall. Windows-DLLs können dabei ausführbaren Programmcode enthalten - wer es schafft, dort Schadcode unterzubringen, agiert quasi unter der Haube des Betriebssystems. Möglich ist dann so gut wie alles vom schnüffelnden Zugriff auf das System, über das Nachladen beliebiger weiterer Schadprogramme bis hin zur Übernahme von Administratorenrechten - für IT-Experten das absolute Worst-Case-Szenario.

Warten auf eine Lösung

Microsoft wurde am Mittwoch informiert und untersucht das Problem. Zu den Einzelheiten wolle man sich nicht äußern, bis Ergebnisse vorlägen, heißt es von Seiten des Software-Unternehmens. Eine relative Funkstille halten auch die beiden Sicherheitsfirmen Acros und Rapid7: Welche Programme und Applikationen genau betroffen sind, verraten sie nicht. Acros hatte seine Analysen offenbar bereits seit März weiter vorangetrieben und hinter den Kulissen an Lösungen für einige der betroffenen Softwarefirmen gearbeitet.

Nach Einschätzung von HD Moore könnte es Microsoft gelingen, innerhalb relativ kurzer Zeit eine temporäre Lösung vorzulegen. Neue Informationen könnte es demnach bereits Anfang nächster Woche geben. Das grundsätzliche Problem jedoch sei schwerer zu lösen, seine Spuren, behauptete er in einem Posting, fänden sich möglicherweise bereits in zehn Jahre alten Programmversionen. Welche Windows-Versionen genau betroffen sind und ob dazu auch das neue, erfolgreiche Windows-7-Paket gehört, ist bisher nicht bekannt. Microsoft hatte erst vor zehn Tagen ein außerplanmäßiges Sicherheits-Update durchgeführt, mit dem eine rekordverdächtige Zahl von Lecks geflickt worden war.

Auch auf Anfrage von SPIEGEL ONLINE verwies Microsoft darauf, den Sachverhalt erst genau prüfen zu wollen, bevor man sich äußere.

pat



Forum - Diskussion über diesen Artikel
insgesamt 39 Beiträge
Alle Kommentare öffnen
Seite 1
QuixX, 20.08.2010
1. MS-Spielkonsolen gefährdet
Zitat von sysopVier Wochen, nachdem Apple ein Sicherheitsleck in der Windows-Version der iTunes-Software flickte, zeichnet sich ab, dass dieses Leck ein verbreiteter Fehler in Windows-Software sein könnte. Über 200 Programme, behauptet IT-Experten, seien aktuell betroffen - möglicherweise weit mehr. http://www.spiegel.de/netzwelt/web/0,1518,712841,00.html
Wissen wir, wenn MediaPlayer den Codec nicht hat, dann will er auf die Suche gehen. Dann kann's passieren. Wieder eine Idee von Microsoft, die man hätte auch durchdenken können. Wer einen Server mit Nutzdaten auf M$-Basis betreibt, dem ist nicht zu helfen. Trotz mannigfaltigen Schwüren hat es noch nie aus Wolken Hirn geregnet.
glubschi 20.08.2010
2. Korrektur
---Zitat--- Microsoft hatte erst vor zehn Tagen ein *außerplanmäßiges* Sicherheits-Update durchgeführt, mit dem eine rekordverdächtige Zahl von Lecks geflickt worden war. ---Zitatende--- Das ist falsch, es handelte sich dabei um den regelmäßig monatlich stattfindenden "Patchday". Die Zahl der dabei jeweils geflickten Lecks schwankt und die Anzahl beim letzten Mal war auch sicher hoch, aber wirklich außergewöhnlich war daran nichts.
wakaba 20.08.2010
3. ?
Das schaut mir aus als ob da jemand auf CIA und NSA Löcher gestossen ist.
QuixX, 20.08.2010
4. .
Zitat von wakabaDas schaut mir aus als ob da jemand auf CIA und NSA Löcher gestossen ist.
Wir schützen uns vor diesen mit einer Datenflut, die kein Rechnerpark bewältigen kann. Seien Sie unbesorgt.
LinkerSelbständiger 20.08.2010
5. eher nicht :-D
abgesehen davon, dass die Erklärung im Artikel nicht wirklich schlüssig ist, wäre das für "Geheimdienstschlupflöcher" viel zu offensichtlich. Ich bin Software Entwickler und konnte der Erklärung zumindest nicht ganz folgen... auch die Aussage mit dem Ausführungslevel des Betriebssystems finde ich sehr schwammig... irgendwas passt da nicht
Alle Kommentare öffnen
Seite 1
Diskussion geschlossen - lesen Sie die Beiträge! zum Forum...

© SPIEGEL ONLINE 2010
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.