Probleme bei Visual FoxPro 6.0

5. September 2002, 10:58
posten

Webseiten können Visual FoxPro 6.0 Applikationen ohne Warnung öffnen

Microsoft warnt Benutzer von Microsoft Visual FoxPro 6.0 vor einem Sicherheitsproblem. Laut Security Bulletin MS02-049 ist es möglich, dass Webseiten Visual FoxPro 6.0 Applikationen ohne Warnung öffnen können.

Beschreibung des Problems

Generell sollte sich ein Produkt sobald es auf einem System installiert wird, im Internet Explorer registrieren. Dies erlaubt es einem Produkt zu spezifizieren wie der Internet Explorer Dateien, die mit diesem Produkt assoziiert sind behandelt, wenn auf diese von einer Webseite aus verwiesen wird. Zum Beispiel ermöglicht dies einzustellen ob ein Benutzer eine Warnmeldung erhält bevor eine Datei geöffnet wird.

Registrierung findet nicht statt

Visual FoxPro 6.0 führt diese Registrierung nicht durch, wodurch es möglich ist das eine Webseite eine Visual FoxPro Applikation (z.B. eine .app Datei) automatisch öffnet. Meist führt dies zu keinem Sicherheitsproblem, da Visual FoxPro 6.0 Dateinamen so wertet das FoxPro als Applikation zwar gestartet wird, die .app Datei allerdings nicht. Allerdings kann - sofern der Dateinamen der .app Datei speziell konstruiert wird - ein zweiter Fehler, der die Art und Weise betrifft wie Visual FoxPro 6.0 Dateinamen bewertet ausgenutzt werden, wodurch nicht nur Visual FoxPro sondern auch die Applikation (.app Datei) ausgeführt wird.

Webseiten können Applikationen öffnen

Dieses Problem kann durch eine Webseite ausgenutzt werden die auf eine Visual FoxPro Datei verweist. Diese Webseite kann entweder im Internet verfügbar gemacht werden oder per HTML E-Mail an den Benutzer gesendet werden. Hat der Benutzer Visual FoxPro 6.0 oder ein Produkt installiert das die Visual FoxPro 6.0 Runtime verwendet kann die Applikation ausgeführt werden. Passiert dies, so kann die Applikation nicht nur auf Datenbanken zugreifen sondern auch Systembefehle im Sicherheitskontext des Benutzers ausführen.

Einstufung des Problems

Microsoft stuft dieses Problem sowohl für Intranet Server als auch Internet Server als niedrig ein. Clientsysteme betreffend wird dieses System als durchschnittlich eingestuft.(red)

Share if you care.