[MS/Windows XP] Schwachstelle im Windows XP Hilfe-System
(2002-10-17 12:14:36.280752+00)
Quelle:
http://cert.uni-stuttgart.de/archive/bugtraq/2002/08/msg00224.htmlDas Hilfe- und Supportcenter von Windows XP weist eine Schwachstelle auf, wodurch beispielsweise arglistige Webseiten beliebige Dateien löschen können.
Betroffene Systeme
- Microsoft Windows XP Home
- Microsoft Windows XP Professional
Einfallstor
Arglistige Webseite, HTML-E-Mail oder Newsartikel
Auswirkung
Löschen beliebiger Dateien sowie möglicherweise Ausführung beliebigen Programmcodes mit den Privilegien des Anwenders.
Typ der Verwundbarkeit
design flaw
Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)
Kontext
Das Hilfe- und Supportcenter von Windows XP ist die Nachfolge des Windows-Hilfe-Systems.
Beschreibung
Durch eine Schwachstelle im Hilfe- und Supportcenter-System von Windows XP können arglistige Webseiten, HTML-E-Mails oder Newsartikel beliebige Dateien löschen und möglicherweise beliebigen Programmcode ausführen. Das Hilfe- und Supportcenter kann dazu über das "hcp:"-Protokoll mittels eines URL aufgerufen werden. Wird beispielsweise der URL hcp://system/DFS/uplddrvinfo.htm?file://c:\rus-cert.txt als URL in einem Browser aufgerufen, so wird das Hilfe- und Supportcenter gestartet und beim Beenden die Datei c:\rus-cert.txt gelöscht.
Sollte unbeabsichtigt das "Hilfe- und Supportcenter"-Fenster erscheinen, so sollten Sie den Prozess HelpCtr.exe im Taskmanager beenden, ohne zuvor das "Hilfe- und Supportcenter"-Fenster zu schliessen. So können Sie u.U. verhindern, daß böswillige Funktionen ausgeführt werden (im obigen Beispiel wird die Datei c:\rus-cert.txt durch das harte Beenden des HelpCtr.exe-Prozesses nicht gelöscht).
Workaround
Da das hcp-Protokoll normalerweise nicht benötigt wird, sollte es durch eine Änderung in der Registry deaktiviert werden:
- Öffnen Sie den Registry Editor (
regedit.exe) - Wählen Sie
HKEY_CLASSES_ROOT\HCP\shell\open\commandaus und entfernen den Standardwert "%windir%\PCHealth\HelpCtr\Binaries\HelpCtr.exe" -url "%1"".
%windir%\PCHealth\HelpCtr\Binaries\HelpCtr.exe restriktiv gestalten, damit Benutzer selbige nicht mehr Ausführen können.
Gegenmaßnahmen
Der Patch ist Bestandteil des Windows XP SP1, seit dem 16.10.2002 ist ein selbständiger Patch (Q328940) verfügbar.
- Microsoft Windows XP:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=43681 - Microsoft Windows XP 64-bit Edition:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=43676
Vulnerability ID
Weitere Information zu diesem Thema
- Microsoft Security Bulletin MS02-060 Flaw in Windows XP Help and Support Center Could Enable File Deletion (Q328940)
Revisionen dieser Meldung
- V.1.0 (2002-08-19)
- V.2.0 (2002-10-17) Patch verfügbar, CAN-2002-0868 hinzugefügt
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=926