Sicherheitsexperten haben zahlreiche Wege demonstriert, wie ein simpler Klick auf einen Webseitenlink bösartigen Programmcode auf dem PC des Websurfers ausführen kann. Das Team rund um Nathan McFeters bedient sich hierzu der URIs (Unified Resource Identifier), die jeder Webbrowser kennt. Die URIs http:// und ftp:// sind sicher die bekanntesten. Darüber hinaus kann aber im Prinzip jede Anwendung unter Windows, Mac OS X oder Linux URIs registrieren und so per Klick auf einen Link aktiviert werden.
So verankert sich auch die Chat-Software Trillian im System und registriert den URI aim://. McFeters hat hier eine Schwachstelle entdeckt: Er missbraucht einen aim://-Link auf einer Website, um Trillian anzuweisen, eine beliebige Datei mit beliebigem Inhalt auf die Festplatte des Websurfers zu schreiben. So kann er ein Batch-File erzeugen und in den Autostart-Ordner legen. Das Batch-File lädt dann beim nächsten Windows-Start zum Beispiel ein Trojanisches Pferd aus dem Netz. Hiergegen gibt es keinen Schutz, da Trillian das URI-Kommando ungeprüft ausführt.
Auch Googles Bildverwaltungsprogramm Picasa ist anfällig für eine URI-Attacke: Picasa reagiert auf das Kommando „importbutton“ in einer URL. Damit kann ein Angreifer per bösartigem Weblink eine neue Schaltfläche wie zum Beispiel einen „Update“-Button in Picasa platzieren. Hinter der Schaltfläche kann sich dann ein Skript verbergen, das vom Server des Angreifers ausgeführt wird und dem Anwender vorgaukelt, ein Update zu installieren. Tatsächlich werden im Hintergrund aber mit Hilfe von Flash beispielsweise alle in Picasa gespeicherten Bilder zum Servers des Angreifers geschickt. (ur)