Während sich Microsoft in den letzten Tagen noch dagegen sträubte eine URI-Lücke unter Windows XP und Server 2003 zu schließen, entschied man sich nun um. Ein Artikel in Microsofts Knowledge Base gibt nun Aufschluss über die sogenannte "URL-Handling-Sicherheitslücke in Windows" und verspricht baldige Besserung mittels eines Patches.

Anlass

Anlass für den Sinneswandel könnten zwei spezifische Gegebenheiten verursacht haben. Im Microsoft Security Response Center (MSRC) begründet man die Entscheidung damit, dass man selbst zur Verwirrung der Benutzer, unter denen sich in den letzten Tagen eine rege Diskussion entwickelte, beigetragen habe und das in Form eines Updates wieder gut machen wolle. Eine andere Möglichkeit wäre wiederum, dass die - durch den Internet Explorer 7 - hervorgerufenen Sicherheitslücken auch in Outlook Express und Outlook 2000 aufgetreten sind.

Problemschilderung

Das Problem wird im Blog des MSRC damit erklärt, dass der Internet Explorer 7 URIs auf ihre Gültigkeit überprüft. Sollte das nicht funktionieren würde sie dieser verwerfen, anschließend schalte sich allerdings die Windows-Funktion ShellExecute() ein, welche ebenfalls versuche die URI zu interpretieren. Unter Vista würde eine URI mit Prozent- oder Anführungszeichen danach verworfen, doch anders verlaufe der Prozess unter XP. Der Softwarefehler führe dazu, dass sich installierte Programme via ShellExecute() mithilfe beliebiger Parametern starten lasse, was in der vorgehenden Browser-Version nicht der Fall gewesen sei.

Empfehlung

Obwohl sich die Entwickler von Microsoft dem Problem mit der URI-Verarbeitung bereits annehmen, empfiehlt der Redmonder Konzern anderen Herstellern bei denen eigenen Programmen ebenfalls nachzuprüfen. Mozilla und Skype taten dies unter anderem bereits, Patches der Firma Adobe sollen binnen der nächsten Tage folgen. (red)