(Un-)Sicheres ActiveX, die Xte
Aus aktuellem Anlass wiederholen wir hier den Kommentar vom 12.07.2003 auf heise Security: "Sicheres ActiveX und andere Märchen"
Aus aktuellem Anlass wiederholen wir unseren Kommentar vom 12.7.2003
Was bisher geschah:
- McAfees und Pandas Online-Virenscanner ebenfalls fehlerhaft - Meldung vom 07.04.2004
- Buffer Overflow in Symantecs Online-Virenscanner - Meldung vom 07.04.2004
- Norton Internet Security und Antispam verwundbar - Meldung vom 21.03.2004
- Sicherheitsloch in RAVs Online-Virenscanner - Meldung vom 21.07.2003
- Trend-Micro-Virenscan ebenfalls unsicher - Meldung vom 12.07.2003
- Online-Virenchecker installiert unsicheres ActiveX-Control - Meldung vom 23.06.2003
Sicheres ActiveX und andere Märchen - Kommentar vom 12.7.2003
In den letzten Wochen hat es ausgerechnet zwei Firmen erwischt, die im Security-Bereich tätig sind: Symantec und Trend Micro. Beide setzen bei ihrem Online-Virenscan ActiveX-Controls ein, beide versicherten, diese seien sicher und beide mussten zugeben, dass sie mit dieser Einschätzung daneben lagen.
Zum Hintergrund: So etwas wie ein "sicheres ActiveX-Control" gibt es nicht. Wenn Sie ein ActiveX-Control auf Ihrem Rechner installieren, ist das genauso sicher oder unsicher wie ein normales Programm: Wenn der Entwickler in das Control reinschreibt: "Lösche alle Dateien auf diesem System", dann löscht es alle Dateien, auf die der Nutzer, der es gestartet hat, Zugriff hat.
Wenn Hersteller davon reden, ein ActiveX-Control sei sicher (safe), dann bedeutet das lediglich, dass sie es als "safe for scripting" markiert haben, weil sie der Ansicht sind, niemand könnte damit Schaden anrichten. Das schränkt die Möglichkeiten eines solchen Controls jedoch in keiner Weise ein: Es könnte nach wie vor alle Dateien löschen. Ein solches ActiveX Control zu installieren ist sogar deutlich gefährlicher, als ein normales Programm von einer vertrauenswürdigen Seite herunterzuladen und zu starten.
Denn "Safe for scripting" ist lediglich eine Markierung. Ist diese Markierung vorhanden, gestattet es der Internet Explorer, dass Web-Seiten das Control via JavaScript aufrufen und fernsteuern -- und zwar nicht nur die Seiten des Herstellers. Einmal installiert, bleibt dieses Control auf Ihrem Rechner und jede Web-Seite, die Sie irgendwann später besuchen, kann das ActiveX-Control über JavaScript-Befehle für seine Zwecke ge- oder mißbrauchen.
Wie die Advisories der letzten Wochen gezeigt haben, schaffen es nicht einmal Firmen wie Symantec oder Trend Micro, ihre angeblich sicheren ActiveX-Controls auch tatsächlich sicher vor Mißbrauch zu implementieren. Wenn Ihnen also das nächste Mal auf einer Web-Seite die Frage gestellt wird überlegen Sie besser zweimal, ob Sie die Funktion, die das Control bereitstellt, tatsächlich brauchen, oder ob sie nicht ein normal installiertes Programm genausogut übernehmen kann.
Weitere Informationen zu ActiveX und eine Anleitung wie Sie Ihren Browser sicherer konfigurieren können, finden Sie auf dem c't Browsercheck.
Viel Spass beim Surfen,
PS: Das Problem ist nicht grundsätzlich auf den Internet Explorer oder Windows beschränkt. Mittlerweile gibt es auch Möglichkeiten, ActiveX-Controls in Netscape auszuführen. Mozilla enthält mit XPConnect eine Schnittstelle, XPCOM-Objekte via JavaScript fernzusteuern. XPCOM steht für Cross Platform Component Object Model, soll also plattformübergreifend funktionieren. Welche Risiken diese Architektur mit sich bringt, ist derzeit noch unklar, eine unabhängige Analyse der Sicherheitsmechansimen von XPCOM ist mir derzeit nicht bekannt. (ju)
