US-Marken-PCs mit eingebauter Sicherheitslücke
Marken-PCs von HP, Compaq und anderen Herstellern öffnen Angreifern Tür und Tor.
Richard M. Smith berichtet im aktuellen Risks Digest von mitgelieferten Sicherheitslücken bei US-amerikanischen HP-Desktop-Computern: Die vorinstallierte Diagnose-Software SystemWizard benutze zwei ActiveX-Controls, die einem Angreifer ermöglichen, per WWW (Internet Explorer) und je nach Client auch per EMail, beliebige Aktionen auf dem Rechner zu veranlassen. Smith hat nach eigenen Angaben binnen 30 Minuten eine EMail geschrieben, die aufgrund mangelhafter Sicherheitseinstellungen nur in Outlook Express dargestellt werden muß, um ein Programm per ftp zu laden, auf dem Rechner zu installieren und es zu starten. Der Hersteller von SystemWizard hat mittlerweile einen Patch zum Download bereitgestellt.
Hewlett-Packard Deutschland stattet Desktop-PCs nach eigenen Angaben hierzulande nicht mit dem SystemWizard aus. Verunsicherte PC-Besitzer können das auf einer Testseite von Smith überprüfen, die den Rechner auch auf einige andere sicherheitsrelevante ActiveX-Controls abklopft. Smith befürchtet zudem, daß viele Anwender bislang versäumt haben, einen wichtigen Microsoft-Patch für den Internet Explorer 5 einzuspielen, der das DHTML Editing Control korrigiert, das in der ursprünglichen Version Angreifern Zugriff auf die lokale Festplatte gestattete.
Smith beklagt ganz allgemein, daß es "bei Herstellern gemeinhin üblich ist, mit ihren Computern Utilities auf der Grundlage von Web-Seiten auszuliefern. Die meisten dieser Anwendungen enthalten ActiveX-Controls." In der Sicherheitsmailingliste Bugtraq wurde zudem auf ein mögliches ActiveX-Problem bei einem amerikanischen Compaq Presario hingewiesen: Die Vorinstallation scheint dabei Compaq als "Trusted Publisher" vorzusehen. Dadurch können von Compaq signierte Programme aus dem WWW ohne Rückfrage ausgeführt werden. Ein seit längerem bekanntes Sicherheitsloch soll hierüber aber auch Angriffe von außen ermöglichen. Details sollen aber bis zur Verfügbarkeit einer Lösung nicht genannt werden.
Da es für den Anwender keine einfache Möglichkeit gibt, die Risiken von ActiveX-Controls einzuschätzen, empfehlen wir, ActiveX in den Sicherheitseinstellungen des Internet Explorers grundsätzlich abzuschalten. (nl)
