fit 2001 > Texteditoren > Sicherheit > Sicherheitsprobleme

Sicherheitsprobleme


Systemspezifische Risiken

Editor Crash

Unter Editor Crash sei hier Datenverlust durch ein unvorhergesehenes terminieren des Programmes zu verstehen. Bei den neueren Editoren steht für diesen Fall eine Auto-Recovery-Funktion zu Verfügung, die nach einem Programmabsturz die zuvor bearbeitete Datei wiederherstellen kann. 
Datenverlust kann im Falle eines Editor-Crash durch folgende Maßnahmen vermieden werden. 

  • Wiederherstellen von nicht gespeicherten Änderungen mit einer Art Wiederherstellungsdatei

  • Erstellen von automatischen Sicherungskopien

  • Wiederherstellen von Text aus einem beschädigten Dokument

  • Speichern von mehreren Versionen eines Dokuments 

Wiederherstellen von nicht gespeicherten Änderungen

Microsoft Word kann zum Beispiel nicht gespeicherte Änderungen an Dokumenten automatisch wiederherstellen für den Fall, dass das Programm nicht mehr reagiert oder ein Stromausfall eintritt. Wenn im Programm die Option AutoWiederherstellen aktiviert ist, werden die Änderungen in festgelegten Intervallen in einer eigenen, temporären AutoWiederherstellen-Datei gespeichert. Wenn danach Word oder der Computer ohne vorherige Speicherung der Daten neu gestartet werden muss, öffnet Word automatisch die AutoWiederherstellen-Datei. Die AutoWiederherstellen-Datei enthält dann die vorgenommenen Änderungen zum Zeitpunkt des letzten Speicherns des Dokuments durch AutoWiederherstellen. 

Erstellen von automatischen Sicherungskopien

Bei dieser Sicherheitsvorkehrung erzeugen die meisten Editoren bei jedem Speichervorgang automatisch Sicherungskopien. Die Sicherungskopie ist dabei die zuvor gespeicherte Version des Dokuments. Somit verfügt man über die aktuell gespeicherten Informationen im Originaldokument und die zuvor gespeicherten Informationen in der Sicherungskopie. Das Erstellen einer Sicherungskopie schützt die Arbeit für den Fall, dass versehentlich Änderungen gespeichert werden, die nicht beabsichtigt bzw. erwünscht sind.

Wiederherstellen von Text aus einem beschädigten Dokument

Wenn das Dokument beschädigt wird, kann man immer noch versuchen, es mit einem speziellen Filter wiederherzustellen. Meistens gehen dabei Formatierungen oder ähnliches verloren. 

Speichern von mehreren Versionen eines Dokuments

Wenn Änderungen in einem Dokument protokolliert werden sollen, so können mehrere Versionen innerhalb desselben Dokuments gespeichert werden. Hierfür werden lediglich die Abweichungen der einen Version von der vorhergehenden gespeichert. Nachdem mehrere Versionen des Dokuments gespeichert wurden, kann man zu früheren Versionen zurückgehen.

Import Export Dateiverwaltung 

Bei der Import- Exportfunktion von Editoren können Fehler auftreten, die ein korrektes Einlesen der Dateien verhindern. So können Formatvorlagen bis hin zum gesamten Dokumentinhalt verloren gehen. 
Als erläuternde Beispiele seien hier die folgenden Fälle angegeben: 
„Die Import/Export-Filter von Word 97 legten beim Speichern im Format des Vorgängers zwar Dateien mit der Erweiterung DOC an, schrieben die Dokumente allerdings im RTF-Format. Damit kommen zwar die früheren Word-Versionen zurecht, andere Programme können diese Dateien jedoch nicht importieren, sofern sie nicht umbenannt werden.“
„Date form fields in documents created in versions of Word 97 that use non-English field names are not displayed correctly in Word 2000. Word 2000 does not convert the non-English abbreviations for day, month, and year to the English abbreviations.“

Fremdelemente (Aktive X, Makros)

Grundsätzlich scheint es eine recht große Frage zu sein, ob es sich bei zahlreichen Funktionen um ein Feature oder einen Bug hält. Die Fachpresse und Microsoft widersprechen sich häufig, wo der eine von einem Bug spricht, spricht der andere von einem Feature. Bei diesem Punkt sind alle Sicherheitsrisiken von Editoren in Beispielen aufgelistet, sowie Aktive X und Makros. 

Sicherheitslücken, Fremdelemente und Bugs

Wordpad vulnerability allows executing of arbitrary commands
There is a security hole in Wordpad, which enables embedding of arbitrary commands in a Wordpad document. These commands are executed - without warning the user - when activating an embedded or linked object. 
Wordpad executes programs embedded in .doc, .rtf or .txt (containing rich text format) documents without any warning if the object is activated by a double click. This may be exploited in IE for Win9x using the view-source: protocol. The view-source: protocol starts Notepad, but if the file is large, then the user is asked to use Wordpad. Therefore, creating a large .rtf document and creating an HTML view-source: link to it in an HTML page or HTML based email message will prompt the user to use Wordpad and a program may be executed if the user double clicks on an object in the opened document.

Word 97 Patch: Template Security 

Now available for download, the Word 97 Template Security Patch addresses a vulnerability that would allow malicious code to be run in a Word 97 document without warning a user. Word 97 will warn users when opening a document that contains macros. However, if that document does not contain macros, but is linked to a template that does contain macros, no warning is issued. A hacker could exploit this vulnerability by causing malicious code to be run without warning when a user visits a Web site or opens an e-mail. This malicious code could be used to damage or retrieve data on a user's system. 
The Word 97 Template Security Patch prevents a hacker from exploiting this vulnerability. After installing the patch, users will be warned before they launch a template that contains a macro. Installing the patch will not disable the use of templates or macros on templates.

Sicherheitslücken in Office 97 und Compaq-PCs

Microsoft und Compaq haben bestätigt, daß einige ihrer Produkte von schweren Sicherheitslücken betroffen sind. Gefährdet sind Anwender, die Office 97 Professionell zusammen mit dem Internet Explorer verwenden sowie Benutzer von Compaq-PCs, die ihr Betriebssystem automatisch über das Internet upgraden.
Zwei unterschiedliche Interaktionen von Anwendungen mit dem Internet Explorer sind verantwortlich für die Mängel. Experten sehen in der Integration des Browsers in Windows 95 und 98 die Ursache für das Auftauchen solcher Sicherheitslücken. Zentrales Problem ist jeweils, dass der Browser die Anfragen, die er erhält, nicht prüft, da er sie automatisch als vertrauenswürdig einstuft. In der Folge leitet er sie an das Betriebssystem weiterleitet, in dem er nahezu uneingeschränkte Modifikationsrechte besitzt. Beide Anfälligkeiten werden von Antiviren-Programmen nicht registriert.
Der ODBC-Treiber JET 3.5 ist für die Sicherheitslücke in Office 97 verantwortlich. JET leitet Suchanfragen an Datenbanken weiter, wenn Office-Programme Daten anfordern. Dabei lassen sich von Web-Sites aus auch Systembefehle wie das Löschen von einzelnen Dateien und Laufwerken ausführen. Diese Befehle sind nicht mit der Ausführung eines Makros verbunden, daher erhält der Anwender auch keine Fehlermeldung.
In neueren Office-97-Auslieferungen mit der JET-Version 4.0 soll dieser Bug behoben sein, ebenso in Office 2000. Microsoft rät betroffenen Benutzern vorerst, die Data Access Components 2.1 zu installieren, die im Web zum Download bereit stehen. Ein regulärer Bugfix soll in Kürze über die Office-2000-Site zu beziehen sein.
Die Ursache der zweiten neuen Sicherheitslücke liegt in der Konfiguration der Rechner von Compaq begründet. Die Presario-Modelle des Unternehmens werden mit einem kleinen Java-Applet ausgeliefert, das sie als von Compaq autorisiert ausweist. Damit lässt sich der PC auch über das Internet updaten. Leider kann das Applet auch Programme ausführen und die Befehle hierfür von Web-Seiten erhalten. Da der Internet Explorer alle Daten auf den Rechner lässt, die von Compaq autorisiert sind, werden die erhaltenen Befehle nicht überprüft. Das Applet lässt sich auch per eMail verschicken. Es läuft dann auf jedem beliebigen PC, allerdings erscheint vor dem Übermitteln der Daten eine Warnmeldung. 

Outlook-Sicherheitslücken

Softwareriese Microsoft musste kleinlaut eingestehen, dass sich in den Emailprogrammen Outlook und Outlook Express erneut erhebliche Sicherheitslücken offenbaren. Das bedeutet in Praxis: Für Hacker wird es noch einfacher, ihre Emailwürmer oder Viren an den unfreiwilligen Empfänger zu bringen. Nach Aussage zweier unabhängiger Experten soll es inzwischen nicht mehr notwendig sein, Mailwürmer enthaltende Attachments (also Dateianhänge) zu öffnen, bereits das Abrufen der Email kann unter Umständen den gefährlichen Wurm aktivieren. 
Um wirklich ganz sicher zu gehen, dass Ihr PC umfassend vor Viren und Mailwürmern geschützt ist, möchte ich Ihnen empfehlen, nicht nur das Microsoft Sicherheitsupdate runterzuladen, sondern auf alle Fälle zusätzlich einen wirkungsvollen Virenscanner zu installieren.
Microsoft stellt für dieses Problem Sicherheitsupdates zur Verfügung.

Sicherheitslücke in Pegasus Mail

Das Programm Pegasus Mail galt bislang als eines der sichersten Mailprogramme. Nun ist auch in Pmail eine Sicherheitslücke entdeckt worden. Wenn mit einem Browser eine Internetseite mit einem bestimmten Code besucht wird, kann Pegasus Mail dazu gebracht werden lokale Dateien an eine beliebige Mailadresse zu verschicken. Dies geschieht über das Kommandointerface, das durch den Browser angesprochen wird. Es muss dem böswilligen Seitengestalter allerdings der Pfad der gesuchten Datei bekannt sein, damit diese verschickt werden kann.
In einer Stellungnahme erklärte David Harris, Eigentümer von Pegasus Mail, dass die Sicherheitslücke im schlimmsten Fall als "moderat" einzustufen sei. Fast immer würde ein Versuch, sie auszunutzen, im System des Rechners zu Fehlermeldungen oder anderen auffälligen Anzeichen führen. Ferner muss der Angreifer sowohl das Opfer dazu bringen, eine manipulierte Seite zu öffnen als auch die Pfadangabe der gesuchten Datei kennen. Er warnte außerdem, dass andere Mailprogramme ähnliche Sicherheitslücken aufweisen könnten. Ein Patch, der die Pegasus-Sicherheitslücke behebt, ist laut Harris in Arbeit. 

Active X Security Concerns and Risks

ActiveX is a powerful and, therefore, potentially dangerous technology. Most of the risks can be managed if you are aware of the problems. The concerns discussed in this section should be borne in mind when deciding when and how to use ActiveX in your
environment. Security concerns in ActiveX can be divided into two broad areas: 1) concerns related to importing and installing controls and 2) concerns related to running controls. This second set of concerns can be further divided into those directly related to controls and those related to the relationship between ActiveX and scripting.

Download Concerns—importing and installing controls

Source of Control

Ideally the decision to install software should be based on the capability of the software. Currently, there is no good way to do this with ActiveX controls. Instead, the decision must be based on the (presumed) source of the control. This is unsatisfactory for two reasons. First, the signer of the control may not be any more capable of assessing the control’s safety than the end user is. Second, the end user must trust the distribution chain from the original source to the signer. The ultimate problem with any signature scheme is that safe controls can come from untrusted sources, and unsafe controls can come from trusted sources.

ActiveX Control

Signatures on ActiveX controls persist. Once an ActiveX control has been signed by a trustworthy party, the signed control is available to attackers. If a vulnerability is discovered in a signed ActiveX control, attackers can use the trust relationship between the victim and the signer to introduce the vulnerable control. Thus, a signed vulnerable control provides attackers a means to install remotely accessible software with known vulnerabilities onto a system if they can convince the victim to trust a “trustworthy” party.

General Control

In the current Windows architecture, a control need only be registered once per machine. This could lead to problems if a machine is shared by multiple users. Any one user can download a control, at which point it is available to all users on the machine.

Remediation of ActiveX

Remediation of ActiveX controls is not always possible. Sometimes, it is not possible to implement desired functionality securely. See for >[example], and XEnroll (Appendix B, VU#3062; MS article >[Q242366]).

Execution Concerns—running controls

ActiveX Capabilities

ActiveX controls have more capabilities than tools that run strictly in a sandbox. Because ActiveX controls are native code that run directly on a physical machine, they are capable of accessing services and resources that are not available to code that runs in a restricted environment.

ActiveX Security Mechanisms

Nearly all ActiveX control security mechanisms are based on Internet Explorer. Unfortunately, ActiveX controls do not rely only on Internet Explorer; they can be installed and executed completely outside of IE. Third-party applications that use ActiveX technology may not provide the security mechanisms available in Internet Explorer.

Security of Internet Explorer

Many of the security mechanisms provided by Internet Explorer are coarse. Some of the security mechanisms are all-or-nothing propositions, forcing a user to choose between functionality and security. For instance, there is currently no way to run a single “unsafe for scripting” control without enabling all “unsafe for scripting” controls.

ActiveX Privileges

When an ActiveX control is executed, it usually executes with the privileges of the current user. There is no mechanism for externally restricting the privileges of a control. (i.e., “sandboxing”).

Remote Invocation

Because ActiveX controls can be invoked remotely (through a web page or email message), each control presents a channel into a network that can potentially be used by an attacker.

Abstraction

ActiveX controls do not have an effective abstraction. Because each ActiveX control has arbitrary latitude in deciding when it can be run and what it can do, it is impossible for users to intuitively determine the behavior of an given control.

Management of ActiveX

ActiveX controls are difficult to manage and audit, particularly for non-expert users. The tools to manage ActiveX controls are lacking in several important areas. (For more details, see the section for system and network administrators in Part 2.)

Scripting Concerns

Security Implementation

ActiveX controls that are scriptable are responsible for implementing their own security. Because ActiveX controls do not run in a restricted environment (a sandbox), each scriptable control is required to implement its own security policy—in effect, its own sandbox. Implementing a single sandbox is difficult, as evidenced by recent problems in certain Java classes from Netscape (http://www.cert.org/advisories/CA-2000-15.html). Though it is not true that each control has to implement a general-purpose sandbox, each control does have to ensure that it behaves well in response to any input, in any order. Because each control presents a channel into your network (as described above), there is a large number of potential failure points.

Scripts 1

Scripts can use controls in ways unanticipated by the original control author. This often leads to unexpected behavior that can be exploited to violate security policy. 

Scripts 2

Scripts can invoke controls “translucently.” A user may not realize that a script is using controls, and it may be impossible to determine beforehand which controls are being used (in an HTML document). As a result, the user might not be able to make informed decisions on whether to open such documents.

Scripts 3

ActiveX is a means for scripts on a web page to escape the Internet Explorer “sandbox.” This is arguably a script engine issue, but it does illustrate one way in which a control could be used to subvert security.

Scripts 4

Scripting engines other than those in Internet Explorer might not provide the security mechanisms that IE does with respect to ActiveX. As third-party applications incorporate ActiveX technology, they will be responsible for invoking ActiveX security.

Cross-site-scripting

Cross-site scripting is still poorly understood. Users of many web sites are vulnerable to a variety of cross-site scripting attacks. (See http://www.cert.org/advisories/CA-2000-02.html). Because ActiveX controls are not isolated in any way, trust decisions made in the context of a cross-site scripting attack can lead to the invocation of vulnerable native code.

Datenspionage

Daten sichern

Daten, die erzeugt werden, dürfen nicht unverschlüsselt und allgemein zugänglich sein, ohne dass der Autor darüber bescheid weiß; so werden zum Beispiel wie in Punkt 1 erwähnt, Sicherheitskopien von Dokumenten unverschlüsselt in temporären Verzeichnissen aufbewahrt. Es muss garantiert werden, dass diese Daten wieder vollständig gelöscht werden. 

Daten verschlüsseln

Der Autor hat die Möglichkeit den Zugriff auf seine Daten mittels Passwort und Datenchiffrierung zu restriktieren. Das Passwort sollte dabei nicht notwendigerweise unverschlüsselt mit den Daten abgespeichert werden und es sollte genauso wenig möglich sein, Daten über den Benutzer aus den eigentlich verschlüsselten Dokumenten zu erfahren. 

Die folgende Beispiele wurden in den Recherchen gefunden.

  • Access97-Paßwörter werden banal verschleiert.

  • Microsofts Datenbankprogramm Access 97 speichert Passwörter nahezu im Klartext: Die bis zu 13 Zeichen langen Zugangskennungen werden lediglich mit einer festen Byte-Folge kodiert (exklusiv-verodert) in den Access-Dateien abgelegt. Ein Programm, das die Verschleierung aufhebt, ist im Internet verfügbar. 

  • Word 2000: You Can Modify Linked Document Object That Contains Password. If your document contains a password in the Password to modify box, and you insert the document into another Word document as a linked object, you may be able to make changes to the original document without typing the password.
    The password to modify, read-only recommended, and forms protection passwords in Word are not recommended for strong security. The password to open is safer, but because key lengths are limited to 40 bits, this method is still vulnerable to brute-force attacks.

  • The best security is to use a secure file system such as NTFS, which is included with Microsoft Windows NT and Microsoft Windows 2000.

Datenschutz bzw. Urheberschutz

Daten des Anwenders sollten datenrechtlich geschützt sein. Nach der Erstellung eines Dokumentes, sollte es nur im Einverständnis des Autors möglich sein, dieses eindeutig auf den Autor zurückzuführen und dann sollte diese Kennung nicht durch unautorisierte Personen modifizierbar sein. 

Microsoft’s Unique Identitifier (UID)

Die eindeutige ID-Nummer, die in Office 97-Dokumente eingefügt wird, dient ausschließlich dazu, andere Hersteller bei der Entwicklung von Tools zu unterstützen, die mit Office 97-Dokumenten zusammenarbeiten und darauf verweisen können. Die eindeutige ID für Office 97-Dokumente basiert nicht auf einer individuellen Benutzerkennung, sondern wird anhand von Informationen der Netzwerkkarte generiert. Aus diesem Grund kann der Verfasser eines Dokuments mit Hilfe dieser ID von anderen Personen nicht eindeutig ermittelt werden. Die eindeutige ID-Nummer wurde von anderen Herstellern bisher nur selten verwendet. Aufgrund der datenschutzrechtlichen Bedenken hat Microsoft beschlossen, seine Kunden beim Entfernen der ID-Nummer zu unterstützen.
Microsoft verkündete dazu auf einer Pressekonferenz, dass es sich um einen Bug handelt, der nicht beabsichtigt ist und stellte einige Zeit später einen Patch zur Verfügung, der die UID aus zukünftigen Dokumenten entfernt. 

Word 2000: Summary Information Under Properties Is Not Encrypted 

Information from the properties of a Word document (on the File menu, click Properties) is not encrypted and can be read if a password-protected file is opened using a text editor (for example, Notepad). The contents of the following fields of the document properties are included in the file data stream and are not encrypted with the document text:
Summary Tab: Title, Subject, Author, Manager, Company, Category, Keywords, Comments, Hyperlink base, template
Any text, value, or path information that is entered into any of the above listed fields appears when a password-protected file is opened in a text editor.
The most severe security issues are the result of Word automatically populating three of these fields without user intervention:
The first 125 characters of the first paragraph are automatically included as the title if no information has been manually entered. 
The author's name is entered from the User Information tab (on the Tools menu, click Options). The company name from the installation is automatically entered. 
On the File menu, point to Properties and click the Summary tab. Clear any fields that would cause security concerns for the document. Repeat these steps for the Custom tab. 
Microsoft has confirmed this to be a problem in the Microsoft products that are listed at the beginning of their >[article].

Benutzerspezifische Risiken

Das FBI, das US-Justizministerium und das Institut für System Administration, Networking & Security (SANS) haben eine Auflistung der größten Sicherheitsbedrohungen für Computersysteme veröffentlicht. 
Die darin genannten fünf gravierendsten Sicherheitsfehler werden in der Regel von Internet-Usern begangen. An erster Stelle steht das Öffnen von Mail-Attachments mit unbekanntem oder zweifelhaftem Absender - ein Verhalten, das die Verbreitung des verheerenden Loveletter-Virus begünstigt hatte. Zweitgrößtes Problem ist die unzureichende Installation von Sicherheits-Patches - insbesondere für Microsoft Office sowie die Browser Internet Explorer und Netscape Communicator.
Als nächste Bedrohung nennen die Experten die Installation von Bildschirmschonern oder Computerspielen unbekannter Herkunft, gefolgt von unzureichenden oder mangelhaften Backups.(PC-WELT, 02.06.2000)
Eine der größten Sicherheitslücken beim Umgang mit sensiblen Dokumenten und Daten ist der Benutzer selbst. Aus diesem Grund haben wir auf einer >[Schweizer Datenschutz-Seite] folgende Richtlinien für den Benutzer gefunden.

  • Verwehren Sie Unbefugten den Zugriff 

  • Sichern Sie Daten korrekt 

  • Löschen Sie Daten vollständig 

  • Bewahren Sie Ihr System vor Viren 

  • Verbessern Sie die Sicherheit im E-Mail-Verkehr 

  • Optimieren Sie die Sicherheit bei der Nutzung des Internets 

  • Verhalten Sie sich sicherheitsbewusst am Arbeitsplatz 

  • Schützen Sie Ihre Daten unterwegs

>Entstehung | Ausbreitung | Verlierer | Vergleich | Sicherheit | Veränderung | Auswirkungen | Interaktiv | Zukunft