Internet Explorer 4 bug/Sicherheitslücke applet

Explorer 4 Crash Bug (Windows 95/98/NT)

Sicherheitslücke von Fabio Ciucci in der letzten Oktoberwoche 1998 entdeckt .

Ich entdeckte diesen Bug zufällig als ich die neue Version von Anfy entwickelte, veröffentlichte allerdings nicht seine Entstehungsweise. Jedenfalls haben es Hacker geschafft, ihn selbst zu finden. Ich kann mich mit deren böswilligen Absicht nicht identifizieren.

Alles was benötigt wird ist eine einfache 1 Kb große ".class"-Datei . Es handelt sich dabei um eine "freches" Java™-Applet, daß die Microsoft-"Erweiterungen" zum offiziellen Java™-Standard ausnutzt. Das Applet läßt nicht nur den Internet Explorer 4.0, 4.1 und IE 5 Beta abstürzen, es hält auch das Betriebssystem (Windows 95/98) an: Alle laufenden Applikationen stoppen und ungesicherte Daten sind verloren. Bei Windows NT stürzt zwar der Internet Explorer ab, aber das Betriebssystem läuft meist noch stabil weiter.

Achtung: Einige Hacker haben bereits verschiedene Variationen des Applets verbreitet, so daß jede Internet-Seite Windows crashen lassen könnte, solange nicht der Microsoft-Patch installiert wurde. Applets, die als eMail-Anhang versandt wurden können das Betriebs-System ebenfalls abstürzen lassen. User, die von diesem Problem betroffen sind, haben keine Möglichkeit, einem totalen Absturz vorzubeugen. Deshalb ist dies mehr als ein Bug, es ist eine Sicherheitslücke.

Es handelt sich nicht um einen Virus: Deswegen kann es sich nicht selbst verbreiten, es muß wie ein trojanisches Pferd von Hand verbreitet werden. Das kann mit dem Besuchen einer Internet-Seite oder dem Empfangen eines eMail-Anhanges geschehen, muß allerdings in einer bösen Absicht herbeigeführt worden sein (jedoch können Hacker das Applet in fremde Internetseiten einschleusen, ohne daß der Betreiber dies erlaubt oder weiß).

NUR ALTE INTERNET EXPLORER 4 UNTER WINDOWS 95/98/NT SIND BETROFFEN: Das Applet ist unter 100%igen Java™-Umgebungen nicht lauffähig, wie zum Beispiel im Netscape Navigator, in Sun's HotJava™ oder mit dem Java™-Plugin. Wie schon erklärt handelt es sich bei Java™ um eine sichere und verläßliche Technologie, wenn sie richtig implementiert wird. Der Bug ist ist nur unter Microsoft's nicht-standardmäßigen (und seit Neuestem illegalen) Java™-Erweiterungen auf Windows-Systemen lauffähig. Das Applet wird den Explorer 3 oder älter, Windows 3.1- or Macintosh-Versionen nicht beeinflussen.

Verwandte Artikel (engl.)

Aus: "DirectDraw bug causes crashes", CNET News.com:

"This is a denial-of-service problem in that it prevents you from using the system," said Microsoft product manager for platform marketing Joe Herman. "[Ciucci's] applet is hanging the system, and it's a bug that we need to correct.", Herman did not know when Microsoft would issue a patch.

Aus: "Sun free to terminate Microsoft's Java™ contract", PC Week Online:

"With a ruling due anytime now in the Java™ case between Microsoft Corp. and Sun Microsystems, a key date has come and gone -- the first anniversary of the suit -- and that means Sun now has the right to terminate Microsoft's Java™ license."

Aus: "Finjan Issues Internet Explorer Hostile Code Alert", NEWSBYTES Top Story:

"Finjan advises customers take precautions against a serious security hole recently discovered in Microsoft's implementation of Java™ in Internet Explorer. [...] These applets can be included in any Web page, or sent via e-mail attachments. [...] by maliciously programming the Microsoft Java™ extensions, hackers can access various Windows capabilities normally inaccessible in "100% pure" Java™ environments. [...] hackers can reach various desktop resources and stop service completely. Computer users lose all unsaved work and are forced to reboot. In its variants, the Ciucci Java™ applet exploitation can also wait silently several minutes after the applet loads, and only later crash the browser, making it difficult to trace the origin of the applet".

Patches, Lösungen and Schutzmaßnamen

Nach einem Monat veröffentliche Microsoft einen Patch.

Microsoft veröffentlichte am 7. Dezember 1998 ein Java™-Update, weil es (wegen des verlorenen Prozesses gegen Sun) gezwungen war, 100%ige Java™-Kompatibilität herzustellen (meiner Meinung hat Microsoft oft versucht, Java™ zu zerstören indem untragbare Erweiterungen eingefügt und Standards entfernt wurden, weil Java™ eben unabhänig von Windows läuft - diese monopolistischen Züge waren selbst dem Gericht offensichtlich).
Anstatt die Fehler der betroffenen Funktionen zu beheben entfernte Microsoft still und heimlich den gesamten DirectX- und DirectDraw-Support aus Java™, somit funktionieren die DirectDraw-Samples der alten Java™ SDK nicht mehr. Besonders interessant ist, daß Microsoft die User nicht über den Bug informierte sondern ihn einfach nur patchte, vielleicht in der Hoffnung, daß niemand jemals etwas von dem Bug erfährt?
Hier sind einige URLs, auf denen das Update gefunden werden kann:

http://www.microsoft.com/java/vm/dl_vm31.htm
http://www.microsoft.com/windows/ie/download/jvm.htm

Einige Antiviren-Scanner verhindern schon das Ausführen der Applets.

Finjan bestätigte, daß ihr SurfinGate 4.02, ein HTTP proxy -fähiger Scanner, verhindert, daß das Applet ausgeführt wird.

Denken Sie daran, zu dieser Seite zurückzukehren, um aktuelle News zu lesen oder Patches / Anti-Viren-Scanner herunterzuladen.

Anfälligkeitstest

Sie können hier überprüfen, ob auch Ihr Internet Explorer von der Sicherheits-Lücke betroffen ist.

Gehen Sie zur Crash-Test-Seite! - aber auf Ihr eigenes Risiko. Eine Gefahr besteht nur für User mit dem Internet Explorer ohne den neuesten Patch. Bei Netscape oder nicht-Windows-Systemen besteht keine Gefahr.

Hacker-Aktivitäten

Bitte berichten Sie mir von allen Internetsites, die das gefährliche "Ciucci-Bug"-Applet enthalten.
Hier ist die Liste der bisher bekannten Seiten. Hinweis: Ich habe nichts mit diesem Menschen zu tun!

http://www.damnation.net/iecrash/IECRASH.ZIP
http://hackersclub.com/km/library/hack/iecrash/

Ich veröffentlichte diese URLs erst nach dem Release des Microsoft JVM Patches um eine größere Verbreitung dieser Dateien zu verhindern, ohne das jegliche Gegenmittel existieren. Jedenfalls ist der Sinn dieser Links, die Surfer und Antiviren-Firmen vor den verschiedenen Versionen des feindseligen Applets zu warnen und damit eventuell jemand etwas gegen diese unternimmt, UND NICHT, UM SIE ZUGÄNGLICH FÜR BÖSARTIGE MENSCHEN ZU MACHEN!

Wenn Sie Neuigkeiten zu diesem Thema haben, eventuell auch die Bekanntmachung von neuen Antiviren-Programmen und Bugfixen, oder modifizierten Versionen des Applets, benachrichtigen Sie mich auf der contact-page der www.anfyteam.com-Haupt-Seite.
Falls Sie eine Web-Seite haben, empfehle ich Ihnen den kostenlosen Download von Anfy 1.4, meinem preisabstaubendem Tool zum leichten Verschönern von Html-Seiten mit Special-Effects.

Site Copyright © 1997,98,99 Fabio Ciucci. Java™ and all Java-based marks are trademarks or registered trademarks of Sun Microsystems, Inc. in the United States and other countries. Fabio Ciucci is independent of Sun Microsystems, Inc.