Inoffizieller Patch schließt URI-Lücke in Windows XP

Microsoft hat vor kurzem zugegeben, dass es eine Schwachstelle in der Verarbeitung von so genannten URIs (Universal Resource Identifier) gibt, mit deren Hilfe eine Angreifer unter Umständen Code auf dem Rechner eines Anwenders ausführen lassen könnte, wenn dieser einen speziell präparierten Link in E-Mails oder Webseiten anklickt.

Die Redmonder arbeiten bereits an einem Patch, der das Problem aus der Welt schaffen soll. Bisher machte man jedoch noch keine Angaben, wann das Update veröffentlicht werden soll. Ein Sicherheitsspezialist mit dem Pseudonym "Hackbunny" hat nun einen eigenen Patch veröffentlicht, der die URI-Lücke schließt. Er veröffentlichte einen nur wenige Kilobyte großen Download.

Der "ShellExecuteFiasco" genannte Patch soll die Ausführung speziell präparierter URLs verhindern und erzwingt zudem die Normalisierung gültiger URLs. URL-Normalisierung ist ein bei Suchmaschinen zur Verhinderung der doppelten Indexierung von Adressen genutzter Ansatz, bei dem Teile der URLs nach bestimmten Standards ausgeklammert werden.


Der Entwickler warnt allerdings sogar selbst vor dem Einsatz des Patches. Er habe keinerlei Qualitätssicherung betrieben, weshalb eine relativ hohe Wahrscheinlichkeit besteht, dass es zu Problemen bei der Verwendung kommt. Microsoft hat sich zu dem Patch des Drittanbieters bisher noch nicht geäußert.

Das Unternehmen empfahl seinen Kunden aber auch schon in der Vergangenheit, die Finger von Patches zu lassen, die von Drittherstellern entwickelt wurden. Der offizielle Lückenschließer von Microsoft wird wahrscheinlich im Rahmen eines der nächsten Patch-Days veröffentlicht, die Redmonder machten aber wie erwähnt noch keine konkreteren Angaben.

Die URI-Lücke besteht nach bisherigen Erkenntnissen nur bei Systemen, auf denen Windows XP oder Windows Server 2003 in Kombination mit dem Internet Explorer 7 verwendet werden. Die Nutzer von Windows Vista sind also nicht gefährdet.

Weitere Informationen: spacebunny.xepher.net