Hintergrund: «Animiertes» Sicherheitsleck

Der PCtipp berichtete [1] bereits am letzten Freitag (30.03.2007) darüber. Der Fehler erlaubt das Einschleusen von Schadcode, indem ein Anwender eine entsprechend präparierte Webseite oder E-Mail per Outlook, Outlook Express bzw. Internet Explorer 6 oder 7 nur schon öffnet.

Laut dem French Security Incident Response Team (FrSIRT [2]) seien von der Sicherheitslücke alle Versionen von Windows 2000 bis Windows Vista sowie Internet Explorer 6 und 7 betroffen. Und darin jene Systembestandteile, die animierte Cursor (*.ANI-Dateien) verwalten sollen.

Die ersten Schädlinge, die diese Sicherheitslücke ausnutzen wollen, liessen nicht lange auf sich warten. Die Antivirus-Hersteller sind zwar dabei, Erkennungsdateien zu erstellen und auszuliefern. Dennoch ist es sinnvoll, sich an einige Ratschläge zu halten.

Tipps und Workarounds

--------------------------------

Microsoft selber empfiehlt im zugehörigen Security Advisory [3] folgendes:

1. Lassen Sie beim Betrachten oder Öffnen unerwarteter Mails oder unbekannter Webseiten grösste Vorsicht walten. Klicken Sie darin auf keine Links oder Dateien.

2. Ein über diese Lücke eingeschleuster Schädling hat auf dem PC die gleichen Rechte wie der angemeldete Benutzer. Daraus folgt: Arbeiten Sie im Alltag nicht mit Administratorrechten, sondern mit einem eingeschränkten Benutzerkonto.

3. Lesen Sie E-Mails stets im reinen Text-Format. In Outlook 2002 und späteren Versionen lässt sich dies über die E-Mail-Optionen einstellen.

Zusätzlich möchten wir Ihnen noch folgende Tipps zum sicheren Umgang mit PCs in Erinnerung zu rufen:

4. Falls möglich, benutzen Sie zum Surfen und Mailen alternative Programme, z.B. Firefox [4] und Thunderbird [5]. Beide sind von der erwähnten Lücke nicht betroffen.

5. Firefox und Thunderbird lassen sich zudem mit wenig Aufwand so ergänzen oder einstellen, dass keinerlei unerwünschte Scripts und dergleichen ausgeführt werden. In Firefox zum Beispiel empfiehlt sich der Einsatz der NoScript-Erweiterung, die wir im Januar-Heft [6] auf Seite 35 vorgestellt haben. Und in Thunderbird gehen Sie zu "Ansicht/Nachrichtentext/Reiner Text", um potentiell schädlichen HTML-Mails die Zähne zu ziehen. Natürlich sind auch im Thunderbird-Posteingang enthaltene Dateien oder Links mit Vorsicht zu behandeln.

Abhilfe naht

------------------

Normalerweise liefert Microsoft neue Updates jeweils am zweiten Dienstag des Monats aus, weshalb dieser Tag inzwischen als "Microsoft Patch-Day" bekannt ist. Nachdem der März-Patch-Day nicht stattfand [7], wäre der nächste am 10. April 2007 fällig gewesen.

Microsoft scheint die Probleme rund um die ANI-Lücke für so schwerwiegend zu halten, dass der Software-Riese jetzt eine Ausnahme machen will. Der Patch, der die Lücke stopfen soll, werde laut einem Technet-Blog-Eintrag [8] schon im Laufe des morgigen Tages (Dienstag, 3. April 2007) ausgeliefert.

Für Sie als Anwender bedeutet dies, dass Windows-Update Sie schon morgen mit dem üblichen Pop-Up-Fenster über mindestens ein neues Update informieren wird. Lassen Sie die Installation zu. Gehören Sie zu jenen Anwendern, die das automatische Windows-Update ausgeschaltet haben? Dann führen Sie morgen Abend oder am Mittwochmorgen das Windows-Update manuell aus.