Die angebliche Firefox-Lücke, die es im Zusammenspiel mit Windows XP und IE 7 erlaubt, duch speziell präparierte URIs beliebige Programme auf dem angegriffenen System zu starten, betrifft nun neben Firefox, mIRC, Adobe Reader und Skype auch Outlook 2000 und Outlook Express. Dies ist insofern verwunderlich, als dass Microsoft dementiert hat, dass eigene Produkte betroffen seien und sich desshalb auch weigerte, die eigentliche Windows-Schwachstelle zu beheben. So waren die Entwickler von Firefox und den anderen betroffenen Programmen gezwungen, in ihre Applikationen Work-Arounds einzubauen. Nun kam der grosse Schock für Microsoft, ist doch auch der eigene Mailclient von der Sicherheitslücke betroffen.
Interessant ist, dass die Lücke nur bei installierem IE 7 auftritt, was wohl bedeutet, dass der IE 7 die Art der URI-Behandlung grundlegend verändert. Eventuell hat Microsoft ja doch Recht und der der IE ist integraler Bestandteil von Windows, und bei dessen Entfernung tritt tatsächlich ein abnormales Verhalten (eine geschlossene URI-Lücke) auf.
Ob Microsoft nun endlich einlenkt und das Verhalten von Windows korrigiert, ist noch nicht bekannt. Ebenso weiss momantan noch keiner, warum genau der IE 7 diese Probleme verursacht. Vielleicht eine kleine Ermunterung für die `Kunden`, endlich auf das so viel sichere Vista (Gerüchteweise die Abkürzung für `Viruses, Intruders, Security holes, Trojans, Adware`) umzusteigen…
Wer selbst testen will, kann folgende URI dazu benutzen, ohne Zeilenumbrüche:
news:%00%00../../../../../windows/system32/cmd“.exe ../../../../../../windows/system32/calc.exe “ – “ blah.bat
