10.07.2009, 10:50 Uhr
Microsoft hat Mut zur Lücke
Von der jüngst bekannt gewordenen Anfälligkeit in einem ActiveX-Modul des Internet Explorers weiss Microsoft seit Anfang letzten Jahres. Am Dienstag soll die Lücke nun geschlossen werden.
Der meistbenutzte Webbrowser ist seit fast anderthalb Jahren aufgrund einer Sicherheitslücke in einem ActiveX-Modul anfällig für Angriffe. Mike Reavey aus Microsofts Security Response Center verweist verunsicherte Nutzer des Internet Explorers nun auf ein Update, das am Dienstag nächster Woche zum Download bereitgestellt werden soll. Bis dahin hilft ein Hotfix, den Microsoft in seiner Knowledge Base anbietet.
Die Schwachstelle existiert laut Reavey im Internet Explorer unter Windows XP sowie Windows Server 2003. Benutzer von Windows Vista seien nicht gefährdet, da das betroffene ActiveX-Control standardmässig abgeschaltet ist.
Keine Bedrohung für Windows
Mit dem Sicherheitsupdate habe sich Microsoft so lange Zeit gelassen, weil es Anfang 2008 keine Bedrohungsszenarien für die ActiveX-Lücke gegeben habe, schreibt Reavey. Damals habe es 44 weitere Löcher in Internet Explorer gegeben, durch die Angreifer hätten eine Attacke lancieren können. Allerdings habe das Security Response Center keine entsprechende Aktivität beobachtet.
Mit dem Sicherheitsupdate habe sich Microsoft so lange Zeit gelassen, weil es Anfang 2008 keine Bedrohungsszenarien für die ActiveX-Lücke gegeben habe, schreibt Reavey. Damals habe es 44 weitere Löcher in Internet Explorer gegeben, durch die Angreifer hätten eine Attacke lancieren können. Allerdings habe das Security Response Center keine entsprechende Aktivität beobachtet.
Nun aber gebe es Handlungsbedarf durch so genannte Drive-by-Downloads. Dabei genügt, dass Benutzer des ungeschützten Internet Explorers eine entsprechend präparierte Webseite aufrufen. Dann wird Ihr System quasi «im Vorbeigehen» infiziert. Angreifer erlangen so schlimmstenfalls die Kontrolle über den Rechner.
Sechs Sicherheitsupdates
Zusätzlich zum Update für das ActiveX-Control im Internet Explorer will Microsoft am nächsten Dienstag fünf weitere Patches für seine Produkte veröffentlichen. Damit sollen zwei schwere Fehler in Windows behoben werden. Ausserdem aktualisieren die Patches Virtual PC und Virtual Server, ISA Server sowie das Office-Programm Publisher.
Zusätzlich zum Update für das ActiveX-Control im Internet Explorer will Microsoft am nächsten Dienstag fünf weitere Patches für seine Produkte veröffentlichen. Damit sollen zwei schwere Fehler in Windows behoben werden. Ausserdem aktualisieren die Patches Virtual PC und Virtual Server, ISA Server sowie das Office-Programm Publisher.