Wenn wir eine App installieren, dann machen wir es entweder über den Microsoft Store, oder laden uns das Paket herunter und installieren die App dann manuell. Daran ändert sich auch nichts.
Aber da Apps beispielsweise auch direkt von Webseiten installiert und aktualisiert werden können, indem das ms-appinstaller-Protokoll „ms-appinstaller:?source=“ verwendet wird, kann es hier zu Sicherheitsproblemen kommen. Microsoft hat gestern darüber berichtet, dass dieses Protokoll aus Sicherheitsgründen deaktiviert wurde.
Das MSIX-App-Paketformat ist unter anderem dafür entwickelt worden, Win32-Programme (als App) zu installieren und zu aktualisieren. Durch das ms-appinstaller-Protokoll-Handler können Benutzer eine Anwendung installieren bzw. aktualisieren, ohne das gesamte MSIX-Paket herunterladen zu müssen.
Unter der CVE-2021-43890 hatte Microsoft schon im Dezember vor einer Lücke gewarnt, die auch in der App Installer App korrigiert wurde, aber nicht das Protokoll betrifft. „Angreifer könnte App Installer fälschen, um ein Paket zu installieren, das der Benutzer nicht installieren wollte….Wir arbeiten aktiv an der Behebung dieser Sicherheitslücke. Zurzeit haben wir das ms-appinstaller-Protokoll deaktiviert. Dies bedeutet, dass App Installer nicht in der Lage sein wird, eine Anwendung direkt von einem Webserver zu installieren. Stattdessen müssen die Benutzer die App zunächst auf ihr Gerät herunterladen und dann das Paket mit App Installer installieren. Dadurch kann sich die Downloadgröße für einige Pakete erhöhen.“
Microsoft rät den Webseitenbesitzern solange den Link „ms-appinstaller:?source=“ aus der Seite zu entfernen, bis diese Lücke behoben wurde. Microsoft arbeitet hier an einer Möglichkeit, eine Gruppenrichtlinie zu integrieren, um das Protokoll wieder zu aktivieren.
Das ist schon seit dem 16. Dezember abgeschaltet. Nach über sieben Wochen schreiben sie öffentlich darüber.