Sony BMG zieht XCP-Musik-CDs aus dem Handel (Update)

Ein finnischer Computerstudent hat ein großes Sicherheitsrisiko entdeckt, das durch den Deinstaller der XCP-Software entsteht. Die XCP-Entwickler First 4 Internet haben einen solchen Deinstaller veröffentlicht, nachdem bekannt wurde, dass das System Arbeitsweisen verwendet, die man sonst nur von Schadsoftware kennt. Aus diesem Grund erkennen die meisten Virenscanner das DRM-System bereits als Schadsoftware und löschen diese bei Bedarf.

Im Unterschied zum XCP-Deinstaller von First 4 Internet muss man als betroffener Nutzer den Virenscanner nicht erst umständlich anfordern, denn First 4 Internet bietet den Deinstaller weiterhin ausschließlich auf Nachfrage an. In Anbetracht des Sicherheitsrisikos, das der Deinstaller verursacht, scheint dieses Vorgehen gar nicht so verkehrt. Denn wer den XCP-Deinstaller eingesetzt hat, läuft akute Gefahr, dass sich fremde Nutzer des eigenen PCs bemächtigen. Zur Deinstallation setzen die Entwickler auf ein ActiveX-Control, das im Anschluss daran auf dem Rechner verbleibt und einen schweren Fehler in den Sicherheitsfunktionen aufweist.

Über dieses ActiveX-Control können fortan Unbefugte jederzeit Zugriff auf den Rechner erlangen, sofern das Opfer eine entsprechend vorbereitete Webseite besucht, denn das ActiveX-Control wird als sicher für Scripting klassifiziert, so dass Angreifer das betreffende Control nur aufrufen müssen, um sich eines fremden Rechners zu bemächtigen. Diese genannten Sicherheitsrisiken gelten nur für den Internet Explorer, weil ActiveX-Controls von anderen Browsern nicht unterstützt werden. Auch eine Update-Routine für XCP läuft nur über ein ActiveX-Control. Ob hier auch ein Sicherheitsrisiko vorliegt, ist nicht bekannt.