Sicherheitsloch in Microsofts Windows Media Player 7.1/8.0

Microsoft meldet im Bulletin MS03-017 einen Fehler bei der Behandlung neu geladener Skins. Microsoft schätzt die Schwachstelle als "kritisch" ein. Betroffen sind die Versionen 7.1 sowie 8.0, der mit Windows XP mitgeliefert wird. Der neue Windows Media Player 9 Series ist von dem Leck nicht betroffen.

Skins bieten die Möglichkeit das Aussehen des Media Players an die eigenen Bedürfnisse oder Vorlieben anzupassen. Die Grafiken werden zusammen mit einer XML-Datei und einem JavaScript in einer komprimierten WMZ-Datei zusammengefasst und vielfach im Internet zum Download angeboten.

Das entdeckte Sicherheitsloch besteht in der Möglichkeit, beliebige Dateien als Skin zu tarnen und in ein bekanntes Verzeichnis, beispielsweise den Autostart-Ordner, zu kopieren, statt in den vordefinierten Ordner Temporary Internet Files und den des Media Players. Dazu muss der lokale URL-Pfad des Zielordners umgebogen werden. Wie dies genau geschieht, beschreibt Microsoft in seinem Bulletin ebensowenig wie die Notwendigkeit, die Extensions der Datei zu ändern, um sie ausführbar zu machen. Secunia berichtet in einem Advisory zu der Sicherheitslücke von der Verwendung hex-codierter Backslashes zum Umbiegen der Pfade und dem Manipulieren des Content Disposition Headers in http (siehe dazu RFC 2183), um den Dateinamen zu ändern. Letzteres setzt voraus, dass der Server, auf dem die gefälschten Skins zum Download bereitliegen, manipuliert wurde.

Im Autostart-Ordner wird das Schadprogramm bei jeder Anmeldung im Sicherheitskontext des jeweiligen Benutzers ausgeführt. In Verbindung mit falsch konfigurierten Mailclients wie Outlook Express 6.0 oder Outlook 98/2000/2002 genügt das Öffnen einer E-Mail, um den Download einer Datei zu starten. Microsoft empfiehlt das Einspielen der bereits verfügbaren Patches für Version 7.1 und Version 8.0. (dab)