Adobe warnt vor schwerer Sicherheitslücke in Windows XP

Hier werden aktuelle Meldungen diskutiert
[this is the place to discus news topics]
Antworten
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 34816
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Adobe warnt vor schwerer Sicherheitslücke in Windows XP

Beitrag von doelf » 09 Okt 2007, 09:56

Bei der kürzlich bekannt gewordenen Sicherheitslücke im Adobe Reader handelt es sich um die URl-Schwachstelle, über die bereits der Webbrowser Firefox sowie die Kommunikationssoftware Skype gestolpert waren. Dabei wird immer deutlicher, dass Microsoft selbst diesses Problem unter Windows XP durch den Internet Explorer 7 herbeigeführt hat.

Zahlreiche Programme reichen Anfragen, für die sie sich selbst nicht verantwortlich sehen, via ShellExecute() an Windows weiter. Dabei prüfen die meisten Programme nicht oder nur unzureichend, was sie dem Betriebssystem übergeben. Ein Beispiel wäre:
"mailto:test%../../../../windows/system32/calc.exe".cmd"
Anscheinend soll eine E-Mail versendet werden, doch der Befehl endet mit einem Programmaufruf für den Taschenrechner. Windows sollte in diesem Fall idealerweise eine Fehlermeldung ausspucken oder aber zumindest die E-Mail Anwendung starten und darauf vertrauen, dass sich diese über die unsinnige Eingabe beschwert. Während Windows Vista meckert und Windows XP mit installiertem Internet Explorer 6 die E-Mail Anwendung öffnet, startet Windows XP mit installiertem Internet Explorer 7 den Taschenrechner.

Im konkreten Fall des Adobe Reader reicht es folglich aus, eine PDF-Datei zu öffnen, um diverse Programme auszuführen und ein Windows XP System komplett für Angreifer zu öffnen. Adobe beschreibt auf seiner Homepage eine Möglichkeit, dieses Problem für den Adobe Reader zu beheben. Da aber auch unzählige weitere Programme betroffen sein dürften, liegt es in erster Linie an Microsoft, das seltsame Verhalten von Windows XP im Zusammenspiel mit dem Internet Explorer 7 zu unterbinden.

Quelle:
http://www.adobe.com/support/security/a ... 07-04.html

Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 34816
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Beitrag von doelf » 09 Okt 2007, 10:40

Zum Test:
"mailto:test%../../../../windows/system32/calc.exe".cmd"
einfach unter Start -> Ausführen eingeben und bestätigen. Startet der Taschenrechner, ist das System betroffen.

Gruß

Michael

Borsti
Gelegenheits-Bastler
Gelegenheits-Bastler
Beiträge: 15
Registriert: 18 Apr 2006, 10:50

Beitrag von Borsti » 09 Okt 2007, 16:07

da hab ich den salat!! und nun? was kann ich dagegen machen, mit meinem schul englisch vor 20 jahren komm ich bei adobe net weiter :(

Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 34816
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Beitrag von doelf » 09 Okt 2007, 17:37

IE 7 entfernen wäre derzeit die beste Alternative :-(

Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 34816
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Beitrag von doelf » 09 Okt 2007, 17:42

Du musst in die Registry:

Acrobat:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Adobe\Adobe Acrobat\8.0\FeatureLockDown\cDefaultLaunchURLPerms

Reader:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Adobe\Acrobat Reader\8.0\FeatureLockDown\cDefaultLaunchURLPerms

mailto unterbinden:
den Schlüssel "tSchemePerms" so abändern, dass mailto den Wert "3" erhält:
"version:1|shell:3|hcp:3|ms-help:3|ms-its:3|ms-itss:3|its:3|mk:3|mhtml:3|help:3|
disk:3|afp:3|disks:3|telnet:3|ssh:3|acrobat:2|mailto:3|file:2"

Sicherheitsabfrage erzwingen:
den Schlüssel "tSchemePerms" so abändern, dass mailto nicht mehr vorhanden ist:

"version:1|shell:3|hcp:3|ms-help:3|ms-its:3|ms-itss:3|its:3|mk:3|mhtml:3|help:3|
disk:3|afp:3|disks:3|telnet:3|ssh:3|acrobat:2|file:2"

Gruß

Michael

Smoke Screen
Overclocker
Overclocker
Beiträge: 119
Registriert: 12 Aug 2005, 17:40

Beitrag von Smoke Screen » 09 Okt 2007, 20:24

doelf hat geschrieben:IE 7 entfernen wäre derzeit die beste Alternative :-(
oder anstelle des Acrobat Reader den von Foxit nehmen. Iss sowieso cirka
10x schneller.

Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 34816
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Beitrag von doelf » 10 Okt 2007, 07:51

Da der Fehler eigentlich in Windows steckt, nutzt dir auch Foxit nichts:
viewtopic.php?t=6479

Antworten