Hunderte ActiveX-Lücken - Der Sturm vor der Ruhe

Windows H.D. Moore ist als Entwickler des Exploit-Entwicklungs-Tools Metasploit als IT-Sicherheitsexperte bekannt. Anfang des letzten Monats hatte er eine Aktion gestartet, in deren Rahmen er täglich eine neue Sicherheitslücke im Internet Explorer 6 der Öffentlichkeit präsentierte. Bei der Suche nach den Sicherheitsproblemen bediente er sich eines sogenannten Data Fuzzing Tools. Mit dieser Software lassen sich durch Variation von Parametern die Reaktionen von Applikationen auf bestimmte Eingaben ermitteln. Mit Hilfe seines Tools entdeckte Moore auf diese Weise mehrere Hundert Sicherheitslücken, die sich beim Umgang mit ActiveX-Controls auftun.

Während es sich bei einem Großteil der Probleme um einfache Denial-of-Service Lücken handelt, betreffen einige auch den Internet Explorer und können über das Internet ausgenutzt werden. Es habe einige Module gegeben, die dermaßen viele Schwachstellen enthalten, das er das komplette Modul als gefährlich einstufen mußte, teilte Moore gegenüber SecurityFocus mit.

Seine Forschungen unterstreichen ein Mal mehr die massiven Sicherheitsrisiken, welche durch ActiveX-Controls auftreten können. ActiveX bildet eine Schnittstelle zwischen dem Web-Browsers des Anwenders und dem Host-System, wodurch sich Angriffe auf den Browser auch auf das Betriebssystem auswirken können.

Das Hauptproblem dabei ist, dass es kaum Sicherheitsvorkehrungen gibt. Die Kontrolle über die Ausführung der möglicherweise schädlichen ActiveX-Controls liegt vollständig beim Anwender. Da viele User ihre Systeme aber nicht auf dem neuesten Stand halten und mit der Überwachung der Steuerelemente überfordert sind, kommt es immer wieder zu erfolgreichen Anriffen.

Moore empfiehlt den Nutzern des Internet Explorer 6, sich die aktuelle Beta-Version der neuen Ausgabe 7 herunterzuladen. Darin wurden die meisten Schwachstellen bereits behoben. Außerdem hat Microsoft dafür gesorgt, dass ActiveX-Steuerelemente nicht mehr ohne die ausdrückliche Zustimmung des Anwenders ausgeführt werden. Ein Umstieg auf den Internet Explorer 7 würde nach Auffassung des Metasploit-Entwicklers, dafür sorgen, dass die meisten bekannten ActiveX-Schwachstellen nicht mehr ausgenutzt werden können.

Auch Microsoft fordert seine Kunden auf, die überarbeitete Version des Internet Explorer, die aktuell in der Beta 3 vorliegt, zu installieren, falls sie auf mehr Sicherheit Wert legen. Der Internet Explorer 7 soll nach seinem Erscheinen über die automatische Update-Funktion von Windows XP ausgeliefert werden. Die Anwender können jedoch wählen, ob sie das Update installieren möchten, oder nicht.

Vielen Dank an ratedochmal für den Hinweis!
Diese Nachricht empfehlen
Kommentieren31
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 00:15 Uhr Microsoft Office 365 Home 5PCs/MACs - 1 Jahresabonnement - multilingual (Product Key Card ohne Datenträger) + WISO steuer:Sparbuch 2017 (für Steuerjahr 2016 / Frustfreie Verpackung)
Microsoft Office 365 Home 5PCs/MACs - 1 Jahresabonnement - multilingual (Product Key Card ohne Datenträger) + WISO steuer:Sparbuch 2017 (für Steuerjahr 2016 / Frustfreie Verpackung)
Original Amazon-Preis
97,98
Im Preisvergleich ab
?
Blitzangebot-Preis
79,98
Ersparnis zu Amazon 18% oder 18
Nur bei Amazon erhältlich

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles

Tipp einsenden