Microsoft bessert zentralen Schutzmechanismus im Internet Explorer aus

Mit Updates für Internet Explorer und Visual Studio bessert Microsoft außerhalb des monatlichen Patchday-Reigens die ActiveX-Unterstützung Internet Explorers nach. Quasi nebenher beheben die Redmonder noch drei kritische Sicherheitslücken ihre Browsers. Betroffen sind alle Versionen bis hin zu Internet Explorer 8.

Viele Erweiterungen des Internet Explorers sind als ActiveX-Controls realisiert. Und eines der wichtigsten Hilfsmittel zum Erstellen von ActiveX-Controls, die Active Template Library (ATL) enthält kritische Sicherheitslücken. Das Killbit ist ein Registry-Eintrag, der verhindern soll, dass der Internet Explorer ein ActiveX-Control instantiiert, das bekannte Sicherheitslücken enthält. Microsoft nutzte diesen Mechanismus in der Vergangenheit hundertfach, um unsichere ActiveX-Komponenten aus dem Verkehr zu ziehen. Dummerweise stellte sich heraus, dass sich selbst diese Blockade umgehen lässt. Schon morgen wollen das drei Forscher auf der Sicherheitskonferenz Black Hat demonstrieren.

Wie viele ActiveX-Komponenten von diesen Problemen tatsächlich betroffen sind, ist nicht klar und lässt sich auch den aktuellen Sicherheitsnotizen nicht entnehmen. Es kann gut sein, dass das selbst Microsoft noch nicht weiß, denn neben den eigenen ActiveX-Controls können auch die von Drittherstellern anfällig sein.

Deshalb veröffentlicht Microsoft in aller Eile zwei Updates, die das mögliche Desaster verhindern sollen. Schnelle Abhilfe soll ein Update für den Internet Explorer bringen, das die bekannten Möglichkeiten blockiert, die ATL-Lücken auszunutzen. Darüber hinaus enthält das Update zu MS09-034 noch drei weitere Patches, die ihrerseits kritische Sicherheitslücken schließen.

Die eigentliche Ursache für das Problem liegt jedoch in der Active Template Library (ATL) von Visual Studio. Diese Bibliothek zum Entwickeln von ActiveX-Controls enthält gleich drei Fehler. Sie ermöglichen es, die Sicherheitsmechanismen des Internet Explorer zu umgehen und Code einzuschleusen und auszuführen. Mit MS09-035 veröffentlichen die Redmonder ein Update für Visual Studio, das sich primär an Entwickler richtet, die unter Umständen nach dessen Einspielen damit ihre Software neu übersetzen müssen. Das Update betrifft alle unterstützten Versionen von Visual Studio, also 7.0, 7.1, 8.0, und 9.0. Wie Entwickler herausfinden können, ob ihre Software tatsächlich betroffen ist, soll ein MSDN-Artikel erklären (derzeit noch nicht verfügbar).

Interessant ist es, wie Microsoft mit den offensichtlichen Schwächen des eigenen Bewertungssystems kämpft. Insgesamt handelt es sich hier um ein äußerst kritisches Problem, das mit ActiveX einen zentralen Mechanismus von Windows bloß stellt. Trotzdem erhält das Update für Visual Studio nur eine mittlere Bewertung, da nach der Redmonder Logik Visual Studio selbst ja nicht bedroht ist und die Anwender der Entwicklungsumgebung keine direkte Gefahr laufen. In der Sicherheitsnotiz für das IE-Update wird der neue Schutz vor ATL-Problemen nur ganz am Rande als zusätzliche "Defense-in-Depth" erwähnt; bei der Bewertung taucht er gar nicht auf. Die höchste Einstufung "kritisch" verdankt der Patch somit den drei anderen Sicherheitslücken. Man fragt sich, wie Microsoft die offensichtliche Dringlichkeit wohl begründet hätte, wenn es diese Updates nicht mehr in der Schublade gehabt hätte.

Ebenfalls interessant ist es, ob der Sachverhalt mit dieser Analyse von Halvar Flake zusammenhängt, die Microsoft mit keinem Wort erwähnt. Der deutsche Sicherheitsexperte hatte bereits Anfang Juli Probleme in der ATL diagnostiziert und den Schutz durch das Killbit für unzureichend erklärt.

Klar ist, dass alle Windows-Nutzer das Internet-Explorer-Update so schnell wie möglich installieren sollten, um zu verhindern, dass ihr System gekapert wird. Entwickler von ActiveX-Controls müssen sich wohl oder übel baldmöglichst mit den Problemen der ATL vetraut machen und ihre Controls auf mögliche Schwachstellen untersuchen.

Siehe dazu auch:

• Adobe- und Cisco-Erweiterungen anfällig für Microsofts ATL-Probleme

• MS09-034 Cumulative Security Update for Internet Explorer (972260)
• MS09-035 Vulnerabilities in Visual Studio Active Template Library Could Allow Remote Code Execution (969706)

(ju)