Verwirrung um «URI-Lücke»

Im Microsoft Security Response Center (MSRC) wurde gestern ein Blogeintrag zum Problem der URI-Lücke veröffentlicht. Laut einem Microsoft-Entwickler bestehen zwei Probleme, die eigentlich nichts miteinander zu tun haben, aber gemeinhin in einen Topf geworfen werden.

Das erste Problem betrifft die Art und Weise, wie Anwendungen Protokolle behandeln, für die sie sich nicht zuständig fühlen. Hier stellt sich Microsoft nach wie vor auf den Standpunkt, dass an Windows nichts geändert werden muss, sondern dass die Programmierer der jeweiligen Anwendungen sicherstellen sollten, dass nur gültige Adressen an das System weitergeleitet werden.

Offenbar unabhängig davon existiert tatsächlich eine Sicherheitslücke in Windows XP. Links (URIs) mit einem Prozentzeichen werden nicht ausreichend auf ihre Gültigkeit kontrolliert, wodurch beispielsweise ein "mailto:"-Link eine Anwendung starten kann. Bei diesem Problem, welches auch mit Microsoft-Programmen wie Outlook Express auftritt, will der Softwaregigant eine Änderung an Windows XP vornehmen. Im Moment ist es so, dass Windows XP mit IE 6 vor der Gefahr geschützt ist, und auch Windows Vista mit IE 7, nicht aber Windows XP mit IE 7.