Webview-Lücke wird massiv ausgenutzt

Das Internet Storm Center hat Alarmstufe Gelb ausgerufen, weil der kürzlich veröffentlichte Exploit in großem Stil ausgenutzt wird, um Spyware, Rootkits und Keylogger zu verbreiten. Dies geschieht nicht nur auf zwielichtigen Sites, auch offenbar harmlose Web-Angebote werden durch eingebettete, unsichtbare IFrames zu Malware-Schleudern.

Wegen eines Fehlers in der Windows Shell kann eine Webseite durch einen Aufruf des ActiveX-Controls WebViewFolderIcon Code einschleusen und ausführen, wenn sie im Internet Explorer geöffnet wird. Da es von Microsoft noch keinen Patch gibt, kann man sich derzeit nur schützen, indem man die die Ausführung des ActiveX-Controls verhindert. Das geht auf mehrere Arten:

• Andere Browser wie Firefox oder Opera führen keine ActiveX-Controls aus.
• In der Sicherheitstufe "Hoch" führt Internet Explorer ebenfalls keine ActiveX-Controls aus.
• Man kann im Internet Explorer das Ausführen von ActiveX-Controls deaktivieren.
• So genannte Killbits in der Windows Registry verhindern den Aufruf des betroffenen Controls WebViewFolderIcon im Internet Explorer. Microsoft beschreibt dies in seiner Sicherheitsnotiz. Das Internet Storm Center stellt kleine Programme bereit, die die Einstellung vornehmen. Netzwerk-Admins können dies auch über eine Gruppenrichtlinie erledigen. Diese Maßnahme sollte man vor dem Einspielen des für den 10.10. angekündigten Patch rückgängig machen.

Neben dem Webview-Problem werden derzeit zwei weitere Zero-Day-Lücken aktiv ausgenutzt, für die es noch keinen Patch gibt: eine im ActiveX-Control für DirectAnimation und eine in Powerpoint. Laut Lennart Wistrand im Blog des Microsoft Security Response Centers geschieht dies jedoch in deutlich geringerem Umfang. (ju)