Internet Explorer blockiert verwundbare ActiveX-Steuerelemente
Laut Microsoft zielten über 80 Prozent alle Exploit-Angriffe im vergangenen Jahr auf Java ab. Das liegt vor allem daran, dass veraltete Plug-ins im Einsatz sind. Mit einem Update will Microsoft gegensteuern.
- David Wischnjak
Microsoft will an seinem Patchday am kommenden Dienstag ein Update für den Internet Explorer veröffentlichen, mit dem alte und möglicherweise gefährliche ActiveX-Steuerelemente blockiert werden können. Diese Elemente erfüllen im Internet Explorer die Rolle der Plug-ins und erlauben so zum Beispiel die Ausführung von Java. Werden sie nicht regelmäßig aktualisiert, können sie ein erhebliches Sicherheitsrisiko darstellen.
Mit dem Update erhält der Explorer die Funktion Out-of-date ActiveX Control Blocking. Dieses Sicherheitsfeature blockiert die Ausführung veralteter ActiveX-Steuerelemente, warnt den Nutzer und bietet passende Updates an. Der Start des jeweiligen Plug-ins lässt sich zwar erzwingen, aber die Warnmeldung erscheint jedes Mal erneut – auch dann, wenn Webseiten bestimmte veraltete Programme, wie beispielsweise die Java Runtime, außerhalb des Internet Explorers ausführen wollen. Die restliche Website bleibt unabhängig davon weiterhin benutzbar.
Das Update erhalten Windows 7 SP1 mit Internet Explorer 8 bis 11 und Windows 8, dort allerdings nur die Desktop-Version des IE. Die Blockier- und Warnfunktion ist in allen Sicherheitszonen außer "Lokales Intranet" und "Vertrauenswürdige Seiten" aktiv.
Welche ActiveX-Steuerelemente werden geblockt?
Um zu entscheiden, welche ActiveX Steuerelemente aktualisiert werden müssen, lädt der IE die Konfigurationsdatei versionlist.xml von Microsoft herunter. Derzeit sind nur ActiveX-Steuerelemente von Java gelistet, aber künftig sollen laut Microsoft auch Steuerelemente anderer Anbieter hinzukommen. Für Administratoren gibt es dazu tiefergreifende Konfigurationsmöglichkeiten.
Microsoft ist mit diesem Schritt ein wenig spät dran: Schließlich blockieren unter anderem Firefox und Chrome veraltete Java-Versionen, eines der Haupteinfallstore für Malware, schon länger. (rei)