Micrsoft sperrt alte ActiveX Controls aus

Systeme mit Windows 7 Service Pack 1 oder Windows 8.x werden im Zuge des monatlichen Patchdays eine Blockfunktion für veraltete ActiveX Controls erhalten. Wie Microsoft im IE-Blog erläutert wird der Internet Explorer am Patchday am Dienstag, den 12. August, veraltete Funktionen mit einer Sperrliste blockieren.

ActiveX, das erweitert den Funktionsumfang des Internet Explorers, bietet aber – vor allem in älteren Versionen – Hackern viel Angriffsfläche. Verbesserungen am Design von ActiveX haben dieses Problem minimiert. Das neue Framework soll sicherstellen, dass Angreifer keine bekannte Schwachstellen in ActiveX Controls ausnutzen können, die installiert, aber nicht auf die jüngste Version aktualisiert wurden.

Zum Start zielt das neue Feature vor allem auf das gefährlichste von allen ActiveX Controls ab: Java. Über die Jahre hat sich Java zum bevorzugten Angriffsziel von Malware-Autoren entwickelt, die wissen, dass auf vielen Windows-PCs und Macs eine veraltete Java-Version läuft. Sie haben den Prozess sogar automatisiert, indem sie Exploit-Kits auf manipulierten Websites einsetzen, um Malware mittels Drive-by-Angriffen auf Systemen mit veralteten Java-Versionen zu installieren.

In seiner Ankündigung zitiert Microsoft seinen jüngsten Security Intelligence Report, laut dem Java-Exploits im Jahr 2013 mehr als 80 Prozent aller mit Exploit-Kits zusammenhängenden Entdeckungen ausmachten. In allen Fällen zielten die automatisierten Attacken auf Schwachstellen ab, für die bereits ein Fix verfügbar war. Doch PCs, auf denen dieser nicht installiert war, waren natürlich dennoch ein einfaches Ziel.

Das neue Sicherheits-Feature setzt auf eine regelmäßig aktualisierte XML-Datei, die auf Microsoft Servern gehostet wird, um ActiveX Controls zu identifizieren, die nicht geladen werden dürfen. Die erste Ausgabe von versionlist.xml kennzeichnet ältere Versionen von Java, die bekanntermaßen unsicher sind. Laut Microsoft werden mit der Zeit weitere veraltete und möglicherweise gefährliche ActiveX Controls der Liste hinzugefügt.

Nach Installation des Updates werden alle unterstützten Versionen des Internet Explorer (IE 8 bis 11 unter Windows 7 und IE für Desktop unter Windows 8.x) die serverseitige Sperrliste abfragen, wenn sie ein ActiveX Control auf einer Webseite ausmachen. Sollte die verwendete Version als veraltet gelistet sein, wird das ActiveX Control nicht ausgeführt und der Nutzer darauf hingewiesen, die neueste, voraussichtlich sichere Ausgabe zu installieren.

Ein Warnhinweis im Internet Explorer. Quelle: Microsoft

Microsoft zufolge stehen folgende Versionen zunächst auf der Sperrliste: J2SE 1.4 bis aber nicht inklusive Update 43, J2SE 5.0 vor Update 71, Java SE 6 vor Update 81, Java SE 7 vor Update 65 sowie Java SE 8 vor Update 11.

Wenn eine Webseite versucht, eine anfällige Anwendung außerhalb des Browsers zu laden, bekommen Anwender diese Warnung zu sehen. Bild: Microsoft

Privatnutzer werden auch weiterhin die Möglichkeit haben, potentiell unsichere ActiveX Controls auszuführen, aber ein auffälliger Warnhinweis soll künftig Drive-by-Angriffe verhindern helfen. In Unternehmensnetzwerken können IT-Profis die Konfiguration so ändern, dass die veraltete Java-Version blockiert und nicht ausgeführt wird. Für Sites, die eine bestimmte ältere Java-Version benötigen, lässt sich die Adresse der Webseite zu den Zonen “Lokales Intranet” oder “Vertrauenswürdige Sites” hinzufügen, in denen die ActiveX-Sperre nicht aktiv ist.

Weitere Neuerungen für Windows-Netzwerkadministratoren sind zusätzliche Gruppenrichtlinienoptionen, die eine Protokollierung, eine zentrale Verwaltung von Whitelist-Domains und die Möglichkeit mitbringen, die Richtlinien vollständig abzuschalten. Weite Einzelheiten dazu finden sich in dem Blogbeitrag von Fred Pullen, Produktmanager für Internet Explorer, und Jasika Bawa, Program Manager Security.

Mit der nächste Woche eingeführten Sperrfunktion schließt Microsofts Internet Explorer zu anderen Windows-Browsern auf, die schon länger ähnliche Features bieten. Beispielsweise nutzt Mozillas Firefox eine Plug-in-Blockliste, auf der sich Java-7-Plug-ins vor Update 44 undJava-6-Plug-ins vor Update 45 finden. Google hat für Chrome solch eine Sperrliste schon 2011 eingeführt. Und auch Apple kennzeichnet regelmäßig veraltete Java-Versionen und blockiert entsprechende Plug-ins in Safari.

[mit Material von Björn Greif, ZDNet.de]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Redaktion

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

1 Tag ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

2 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

4 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

4 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

4 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

5 Tagen ago