Internet Explorer blockiert verwundbare ActiveX-Steuerelemente

Microsoft will an seinem Patchday am kommenden Dienstag ein Update für den Internet Explorer veröffentlichen, mit dem alte und möglicherweise gefährliche ActiveX-Steuerelemente blockiert werden können. Diese Elemente erfüllen im Internet Explorer die Rolle der Plug-ins und erlauben so zum Beispiel die Ausführung von Java. Werden sie nicht regelmäßig aktualisiert, können sie ein erhebliches Sicherheitsrisiko darstellen.

Mit dem Update erhält der Explorer die Funktion Out-of-date ActiveX Control Blocking. Dieses Sicherheitsfeature blockiert die Ausführung veralteter ActiveX-Steuerelemente, warnt den Nutzer und bietet passende Updates an. Der Start des jeweiligen Plug-ins lässt sich zwar erzwingen, aber die Warnmeldung erscheint jedes Mal erneut – auch dann, wenn Webseiten bestimmte veraltete Programme, wie beispielsweise die Java Runtime, außerhalb des Internet Explorers ausführen wollen. Die restliche Website bleibt unabhängig davon weiterhin benutzbar.

Das Update erhalten Windows 7 SP1 mit Internet Explorer 8 bis 11 und Windows 8, dort allerdings nur die Desktop-Version des IE. Die Blockier- und Warnfunktion ist in allen Sicherheitszonen außer "Lokales Intranet" und "Vertrauenswürdige Seiten" aktiv.

Welche ActiveX-Steuerelemente werden geblockt?

Um zu entscheiden, welche ActiveX Steuerelemente aktualisiert werden müssen, lädt der IE die Konfigurationsdatei versionlist.xml von Microsoft herunter. Derzeit sind nur ActiveX-Steuerelemente von Java gelistet, aber künftig sollen laut Microsoft auch Steuerelemente anderer Anbieter hinzukommen. Für Administratoren gibt es dazu tiefergreifende Konfigurationsmöglichkeiten.

Microsoft ist mit diesem Schritt ein wenig spät dran: Schließlich blockieren unter anderem Firefox und Chrome veraltete Java-Versionen, eines der Haupteinfallstore für Malware, schon länger. (rei)