Adobe- und Cisco-Erweiterungen anfällig für Microsofts ATL-Probleme
Microsofts ATL-Problem zieht weitere Kreise. Betroffen sind viele andere Software-Hersteller, darunter Adobe und Cisco. Microsoft bestätigte, dass man jedoch nicht genau wisse, wie viele andere Active-X-Controls noch verwundbar seien.
- Uli Ries
- Jürgen Schmidt
Microsofts ATL-Problem zieht weite Kreise. Betroffen sind viele andere Software-Hersteller, darunter Adobe und Cisco. Wie viele Anbieter insgesamt verwundbare Controls aufweisen, ist derzeit unklar. Im Gespräch mit heise Security bestätigte Microsoft-Manager Andrew Cushman, dass man nicht wisse, wie viele ActiveX-Controls betroffen seien. Es sei das erste Mal, dass eine Microsoft-Library von einem Sicherheitsproblem betroffen ist. Die Redmonder seien sich bewusst, dass von diesem Patch nicht nur die IT-Teams in Unternehmen betroffen seien, sondern auch Softwareentwickler ans Werk müssten.
Man habe wichtige ActiveX-Control-Entwickler wie Adobe und Sun vorab informiert, um zumindest deren Controls abzusichern. Adobe hat inzwischen bestätigt, dass sowohl der Flash-, als auch der Shockwave-Player die von Microsoft gepatchte Active Template Library nutzen. Adobe betonte aber, dass nur die ActiveX-Controls verwundbar sind und nicht die Erweiterungen für Firefox und andere Browser. Für den Shockwave Player stellt Adobe bereits eine neue Version bereit, die den Fehler behebt. Beim Flash-Player soll der Patch in das ohnehin für den 30. Juli angekündigte Update eingebaut werden, das eine 0day-Lücke schließen soll, die bereits aktiv ausgenutzt wird.
Ob Suchmaschinen-Gigant und Microsoft-Konkurrent Google ebenfalls betroffene Controls im Bestand hat, weiß man bei Microsoft noch nicht, da Google sich nicht äußern will. Software-Entwicklern rät Microsoft jedenfalls, all ihre Active-X-Controls auf die jetzt veröffentlichte Schwachstelle zu überprüfen und gegebenenfalls mit dem gepatchten Template erneut zu kompilieren. Wer schnell prüfen will, ob sein Control angreifbar ist, kann einen Gratis-Online-Test von Verizon Business in Anspruch nehmen. Das Tool verarbeitet die kompilierten Controls und meldet anschließend, ob die Software verwundbar ist. Verizon Business weist jedoch darauf hin, dass sowohl falsch positive als auch falsch negative Ergebnisse möglich sind, sodass letztendlich doch nur die manuelle Kontrolle des Sourcecodes bleibt.
Die Active Template Library wird mit der Entwicklungsumgebung Visual Studio bereitgestellt und soll die Entwicklung von ActiveX-Controls vereinfachen. Die fehlerhaften Teile werden beim Übersetzen in die Erweiterung eingebaut, sodass diese dann verwundbar ist.
Siehe dazu auch:
- Security advisory for Adobe Flash Player von Adobe
- Security Update available for Shockwave Player von Adobe
- Active Template Library (ATL) Vulnerability von Cisco
- Microsoft bessert zentralen Schutzmechanismus im Internet Explorer aus auf heise Security
(Uli Ries) / (ju)
