Micrsoft sperrt alte ActiveX Controls aus

Der Internet Explorer soll sicherer werden. Im Vorfeld des anstehenden Patch-Days erklärt Microsoft nun, dass ältere Versionen von ActiveX künftig blockiert werden.

Systeme mit Windows 7 Service Pack 1 oder Windows 8.x werden im Zuge des monatlichen Patchdays eine Blockfunktion für veraltete ActiveX Controls erhalten. Wie Microsoft im IE-Blog erläutert wird der Internet Explorer am Patchday am Dienstag, den 12. August, veraltete Funktionen mit einer Sperrliste blockieren.

ActiveX, das erweitert den Funktionsumfang des Internet Explorers, bietet aber – vor allem in älteren Versionen – Hackern viel Angriffsfläche. Verbesserungen am Design von ActiveX haben dieses Problem minimiert. Das neue Framework soll sicherstellen, dass Angreifer keine bekannte Schwachstellen in ActiveX Controls ausnutzen können, die installiert, aber nicht auf die jüngste Version aktualisiert wurden.

Zum Start zielt das neue Feature vor allem auf das gefährlichste von allen ActiveX Controls ab: Java. Über die Jahre hat sich Java zum bevorzugten Angriffsziel von Malware-Autoren entwickelt, die wissen, dass auf vielen Windows-PCs und Macs eine veraltete Java-Version läuft. Sie haben den Prozess sogar automatisiert, indem sie Exploit-Kits auf manipulierten Websites einsetzen, um Malware mittels Drive-by-Angriffen auf Systemen mit veralteten Java-Versionen zu installieren.

In seiner Ankündigung zitiert Microsoft seinen jüngsten Security Intelligence Report, laut dem Java-Exploits im Jahr 2013 mehr als 80 Prozent aller mit Exploit-Kits zusammenhängenden Entdeckungen ausmachten. In allen Fällen zielten die automatisierten Attacken auf Schwachstellen ab, für die bereits ein Fix verfügbar war. Doch PCs, auf denen dieser nicht installiert war, waren natürlich dennoch ein einfaches Ziel.

Das neue Sicherheits-Feature setzt auf eine regelmäßig aktualisierte XML-Datei, die auf Microsoft Servern gehostet wird, um ActiveX Controls zu identifizieren, die nicht geladen werden dürfen. Die erste Ausgabe von versionlist.xml kennzeichnet ältere Versionen von Java, die bekanntermaßen unsicher sind. Laut Microsoft werden mit der Zeit weitere veraltete und möglicherweise gefährliche ActiveX Controls der Liste hinzugefügt.

Nach Installation des Updates werden alle unterstützten Versionen des Internet Explorer (IE 8 bis 11 unter Windows 7 und IE für Desktop unter Windows 8.x) die serverseitige Sperrliste abfragen, wenn sie ein ActiveX Control auf einer Webseite ausmachen. Sollte die verwendete Version als veraltet gelistet sein, wird das ActiveX Control nicht ausgeführt und der Nutzer darauf hingewiesen, die neueste, voraussichtlich sichere Ausgabe zu installieren.

Internet Explorer blockiert künftig veraltete ActiveX Controls .
Ein Warnhinweis im Internet Explorer. Quelle: Microsoft

Microsoft zufolge stehen folgende Versionen zunächst auf der Sperrliste: J2SE 1.4 bis aber nicht inklusive Update 43, J2SE 5.0 vor Update 71, Java SE 6 vor Update 81, Java SE 7 vor Update 65 sowie Java SE 8 vor Update 11.

 

Wenn eine Webseite versucht, eine anfällige Anwendung außerhalb des Browsers zu laden, bekommen Anwender diese Warnung zu sehen (Bild: Microsoft).
Wenn eine Webseite versucht, eine anfällige Anwendung außerhalb des Browsers zu laden, bekommen Anwender diese Warnung zu sehen. Bild: Microsoft

Privatnutzer werden auch weiterhin die Möglichkeit haben, potentiell unsichere ActiveX Controls auszuführen, aber ein auffälliger Warnhinweis soll künftig Drive-by-Angriffe verhindern helfen. In Unternehmensnetzwerken können IT-Profis die Konfiguration so ändern, dass die veraltete Java-Version blockiert und nicht ausgeführt wird. Für Sites, die eine bestimmte ältere Java-Version benötigen, lässt sich die Adresse der Webseite zu den Zonen “Lokales Intranet” oder “Vertrauenswürdige Sites” hinzufügen, in denen die ActiveX-Sperre nicht aktiv ist.

Weitere Neuerungen für Windows-Netzwerkadministratoren sind zusätzliche Gruppenrichtlinienoptionen, die eine Protokollierung, eine zentrale Verwaltung von Whitelist-Domains und die Möglichkeit mitbringen, die Richtlinien vollständig abzuschalten. Weite Einzelheiten dazu finden sich in dem Blogbeitrag von Fred Pullen, Produktmanager für Internet Explorer, und Jasika Bawa, Program Manager Security.

Mit der nächste Woche eingeführten Sperrfunktion schließt Microsofts Internet Explorer zu anderen Windows-Browsern auf, die schon länger ähnliche Features bieten. Beispielsweise nutzt Mozillas Firefox eine Plug-in-Blockliste, auf der sich Java-7-Plug-ins vor Update 44 undJava-6-Plug-ins vor Update 45 finden. Google hat für Chrome solch eine Sperrliste schon 2011 eingeführt. Und auch Apple kennzeichnet regelmäßig veraltete Java-Versionen und blockiert entsprechende Plug-ins in Safari.

[mit Material von Björn Greif, ZDNet.de]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.