ActiveX-Hintertür für Microsoft?

Juan Carlos Garcia Cuartango hat in der Sicherheits-Mailingliste Bugtraq auf ein Fehlverhalten bei den Sicherheitseinstellungen des Internet Explorer (IE) hingewiesen. Bei den IE-Versionen 4.01 bis 5.01 sollen von Microsoft herausgegebene ActiveX-Controls auch dann ohne Rückfrage gestartet werden, wenn die Sicherheitseinstellungen eine Nachfrage verlangen. Cuartango hat im Internet eine Demonstration bereitgestellt, die das belegt.

Das Sicherheitsloch könnten beliebige Webseiten- oder E-Mail-Autoren (sofern HTML-Mails durch den IE interpretiert werden) ausnutzen, um ungefragt Microsoft-Komponenten auf dem heimischen Rechner zu installieren. Ein Angreifer könnte dadurch beispielsweise ein ActiveX-Control mit einer bekannten Sicherheitslücke einschleusen, um im nächsten Schritt Zugriff auf Dateien zu erhalten. Microsoft selbst hätte natürlich weitreichendere Möglichkeiten, da wie es scheint jede von der Firma geschriebene und signierte Software eingespielt werden kann.

Als Lösung schlägt Cuartango vor, auch die Ausführung von signierten ActiveX-Controls zu verbieten. Aufgrund der häufigen Sicherheitslücken und allgemeiner Vorbehalte gegen die uneingeschränkten Möglichkeiten von ActiveX empfiehlt c't, aktive Inhalte generell zu verbieten und nur bei Bedarf für vertrauenswürdige Sites zu aktivieren. (nl)