Microsoft behebt schwerwiegendes ActiveX-Sicherheitsproblem

BrowserDeveloperIT-ProjekteSicherheitSicherheitsmanagementSoftwareWorkspace

In der Active Template Library (ATL) von Visual Studio, mit der viele ActiveX-Controls entwickelt werden, stecken drei Sicherheitslecks, die Microsofts bisherige Schutzmechanismen im Internet Explorer aushebeln. Der Software-Riese musste daher seinen Browser-Schutz nachbessern.

Microsoft stuft das Problem als so kritisch ein, dass man nicht bis zum nächsten Patch Day im August mit den Updates warten will, sondern sie sofort veröffentlicht. Das Update für Visual Studio trägt zwar nur die SIcherheitseinstufung moderate, dies aber nur weil die Entwicklungsumgebung selbst nicht gefährdet ist. Das trifft allerdings auf zahlreiche COM-Komponenten und ActiveX-Controls zu, die mit Visual Studio entwickelt worden. Wurde bei ihnen die Active Template Library (ATL) verwendet, machen sie den Rechner des Anwenders angreifbar – werden die ActiveX-Controls im Internet Explorer aufgerufen, beispielsweise beim Ansurfen einer Website,kann man sich Schadcode einfangen.

Bisher setzte Microsoft in solchen Fällen einfach das Killbit für die betroffenen ActiveX-Controls, um zu verhindern, dass sie vom Internet Explorer aufgerufen werden. Doch wie man jetzt in einem Security Advisory schreibt, lässt sich dieser grundlegende Schutzmechanismus durch die neu entdeckten Lecks umgehen. Daher gibt es auch ein Update für den Internet Explorer, dem man einen neuen Schutzmechanismus verpasst. Welcher Art dieser ist, verrät Microsoft nicht, nur dass er das Ausnutzen der ATL-Sicherheitslücken verhindern soll.

Quasi nebenbei behebt das IE-Update noch drei weitere Sicherheitsprobleme im Microsoft-Browser, die Speicherfehler auslösen konnten und ebenfalls für das Einschleusen von Code taugten. Betroffen von diesen Lecks und von den ATL-Lecks sind alle Versionen des Internet Explorers inklusive der neuen Version 8. (Daniel Dubsky)