Am Dienstag war Microsofts Patchday, an dem durch 6 Bulletins 9 Schwachstellen, darunter 4 kritische, geschlossen wurden. Eines dieser Bulletins ist hier von besonderem Interesse: MS07-060, mit dem eine Schwachstelle in Word geschlossen wurde, die die Ausführung beliebigen Codes erlaubt. Microsoft hat schon im Bulletin darauf hingewiesen, dass diese Schwachstelle für gezielte Angriffe ausgenutzt wurde. Am Mittwoch war dann Exploit-Wednesday: Symantec hat einen Trojaner erhalten, der diese Schwachstelle zur Verbreitung ausnutzt: Trojan.Mdropper.Z. Laut Blogeintrag für Mac OS X, laut Beschreibung für Windows. Egal, ein Patch ist verfügbar, die Schwachstelle wird ausgenutzt, also: Einspielen! Denn wenn es den Trojaner für das eine System gibt, wird er sich sicher auch auf das andere portieren lassen, die Schwachstelle ist in Word für beide Systeme enthalten. Exploits für weitere der geschlossenen Schwachstellen werden sicher noch folgen, also sollten auch die Patches der anderen Security Bulletins besser zügig eingespielt werden. Was bisher fehlt, sind neue Schwachstellen in Microsoft-Produkten, der 0-Day-Day ist diesmal ausgefallen.

URI-Schwachstelle in Windows wird geschlossen
Am Donnerstag gab es eine erfreuliche Nachricht von Microsoft: Die URI-Schwachstelle, durch die über verschiedene URI-Handler Programme gestartet werden können, wird nun doch in Windows geschlossen. Ein Security Advisory wurde veröffentlicht, ein Patch ist in Vorbereitung. Bravo!

Im Blog des Microsoft Security Response Center (MSRC) gibt es einen Eintrag mit einigen Detailinformationen zu der Schwachstelle. Wenn eine URI angeklickt wird, übergibt das anzeigende Programm sie im Fall eines "sicheren" Protokolls wie mailto: und http: der Funktion ShellExecute(). Windows startet dann das zuständige Programm und übergibt ihm die URI. Ist der Internet Explorer 6 installiert, wird ihm die URI übergeben. Er erkennt eine ungültige URI und verwirft sie. Ist der Internet Explorer 7 installiert, läuft das Ganze etwas anders ab: Auch er untersucht die URI, verwirft eine ungültige URI aber nicht, sondern gibt sie zurück an ShellExecute(). Unter Windows Vista wird die ungültige URI dann verworfen, unter Windows Server 2003 und Windows XP aber beim Versuch von ShellExecute(), die URI zu reparieren, ein darin angegebenes Programm mit den angegebenen Parametern aufgerufen.

Wo Licht ist, ist auch Schatten
Neben der erfreulichen gibt es auch eine unerfreuliche Nachricht über Microsoft: Wieder wurde ohne Erlaubnis automatisch ein Update installiert und der Rechner danach zwangsweise neu gestartet. Wieso/weshalb/warum und durch wen oder was die Einstellungen geändert wurden, ist noch nicht geklärt, auch Microsoft untersucht die Angelegenheit noch. Auf die Erklärung bin ich gespannt.

Dauerbrenner Bundestrojaner:
(K)eine Onlinedurchsuchung in NRW?!?
Das mit der Onlinedurchsuchung in NRW ist ja alles gar nicht so gemeint, wie es im Gesetz steht. Meint jedenfalls Professor Dirk Heckmann, der die Landesregierung von NRW vor dem Bundesverfassungsgericht vertritt. Ja, und warum steht es dann im Gesetz? Sind die zuständigen Politiker zu dumm, das was sie wirklich wollen, in ein Gesetz zu schreiben - oder wollen sie jetzt das Bundesverfassungsgericht für Dumm verkaufen, um heile aus der Sache raus zu kommen? Nun, zumindest haben die Aussagen für Heiterkeit im Gerichtssaal gesorgt. Und es steht ja jedem frei, sich nach Belieben selbst lächerlich zu machen.

Herrn Schäuble interessiert das alles nicht, der möchte seinen Bundestrojaner haben. Aber bitte schnellstmöglich. Das erinnert mich irgendwie an ein kleines Kind, das mit dem Fuß aufstampft und "Ich will aber!" brüllt. Das Fachleute sagen, dass die Onlinedurchsuchung kaum durchführbar ist und massive Probleme bereitet ⁽¹⁾ ignoriert er ebenso wie die Bedenken der Richter am Bundesverfassungsgericht. Da stellt sich doch die Frage, wessen Computer er denn schnell noch durchsuchen lassen möchte, bevor die Onlinedurchsuchung endgültig verboten wird. Für seinen unermüdlichen Einsatz, uns mit seiner Panikmache und seinen überzogenen Vorschlägen zur Terrorismusbekämpfung zu terrorisieren, wurde er bei der Verleihung der BigBrotherAwards außer Konkurrenz ausdrücklich mit keinem BigBrotherAward geehrt. Keine Ahnung, ob man ihm dazu gratulieren oder kondolieren sollte.

Terrorplanung im Rechner?
Auch Frau Merkel hält an der Onlinedurchsuchung fest: "Wenn sich Computertechnologie weiterentwickelt, müssen wir auf richterliche Anordnung auch auf eine Festplatte zugreifen können, wenn wir klare Anhaltspunkte haben, dass dort Terroranschläge geplant werden" [Hervorhebung von mir]. Das klingt, als würden die Planungen auf der Festplatte stattfinden, oder? Da hat sie wohl zu oft Tron geguckt, oder wie stellt sie sich vor, dass die Terroristen auf die Festplatte kommen? OK, wir wissen ja, was sie gemeint hat, also Schwamm drüber. Auf jedem Fall hat auch sie weder die Stellungnahmen der Gutachter noch die Hinweise des Bundesverfassungsgerichts zur Kenntnis genommen.

Internet vs. privater Computer
Im gleichen Text wie Frau Merkel wird auch der CDU-Generalsekretär Ronald Pofalla zitiert: "Das Internet darf kein Freiraum für Terroristen sein". Dem stimme ich vorbehaltlos zu. Aber zwischen dem öffentlichen Internet und einem privaten Computer gibt es meilenweite Unterschiede. Wer das nicht begreifen kann oder will, braucht wohl auch keine Vorhänge und Gardinen vor den Fenstern und keine Schlösser in den Türen. Bevor die Polizei ein Haus durchsuchen darf, müssen gute Gründe und eine richterliche Genehmigung vorliegen. Und dann darf die Durchsuchung nicht heimlich stattfinden, sondern es müssen Zeugen anwesend sein. Genau das muss auch für die in diesem Haus stehenden Computer gelten, auch wenn die zufällig ans Internet angeschlossen sind. Oder kommt die Polizei demnächst zur Hausdurchsuchung heimlich durch die Kanalisation gekrochen?

⁽¹⁾ Siehe z.B. die Stellungnahmen von Sercovo (PDF) und Andreas Bogk vom Chaos Computer Club (PDF) sowie Andreas Pfitzmanns Aussagen über das mögliche Ausmaß der Überwachung (PDF).

Carsten Eilers