Sind sichere ActiveX-Elemente sicher?

Ein Online-Tool verwendet nach Aussage des Herstellers nur ActiveX-Bestandteile, die in Windows schon enthalten sind. Wenn ich jetzt „ActiveX Steuerelemente ausführen, die für Scripting sicher sind“ in den Sicherheitseinstellungen des Internet Explorer aktiviere, den Download von ActiveX-Scripten aber verbiete, ist mein System dann vor ActiveX-Angriffen sicher?

Nein. Auch in den angeblich sicheren Steuerelementen tauchen immer wieder Probleme auf.

Die Einstufung „Safe for Scripting“ nimmt der Hersteller des ActiveX-Controls vor, wenn er der Überzeugung ist, dass es keinen Schaden anrichten kann. Es gibt bereits mehrere Beispiele, wo sich im Nachhinein herausgestellt hat, dass diese Einschätzung falsch war. Microsofts Office 2000 enthält das als sicher markierte UA-Control, mit dem sich Office-Anwendungen für Präsentationen fernsteuern lassen. Damit können Angreifer beispielsweise beliebige Dateien auf dem Rechner des Surfers anlegen. Der Internet Explorer enthält das als sicher markierte Control DHTMLED, das lokale Dateien auslesen und auf andere Rechner übertragen kann.

Falls Sie dem Anbieter des Online-Tools vertrauen, wäre in Ihrem Fall eher eine Abhilfe, mit den Sicherheitszonen des Internet Explorer zu arbeiten und die Seite des Online-Tools in die „vertrauenswürdige Zone“ zu übernehmen, wie in c't 13/04, Seite 196, beschrieben. (ju) (ju)