GREENHORN COMPUTER-FORUM - Freundliche Hilfe für PC-Einsteiger und Fortgeschrittene |
|
Seiten mit Postings: | zum Seitenende |
|
Autor | Mitteilung |
Nubira Moderator Beiträge: 15134 | Gesendet: 15:58 - 29.07.2009 SICHER o INFORMIERT Extraausgabe vom 29.07.2009 Buerger-CERT empfiehlt die Deaktivierung der ActiveX-Unterstuetzung Kritische Sicherheitsupdates fuer Microsoft Internet Explorer und Visual Studio Am so genannten Microsoft-Patchday, dem Tag im Monat, an dem die Firma Microsoft in den vergangenen Monaten Sicherheitsupdates fuer ihre Betriebssysteme und Anwendungen veroeffentlicht, wurden auch immer wieder Luecken in so genannten ActiveX-Komponenten (engl. ActiveX-Controls) gemeldet. Die aktuelle Bereitstellung von Patches ausserhalb des regulaeren Patch-Zyklus (so genannte Out-of-Band-Releases) schliesst kritische Luecken in den aktuellen Versionen des Internet Explorers und sollten daher unverzueglich eingespielt werden. Buerger-CERT Technische Warnung: Ausserplanmaessige Sicherheitsupdates fuer Internet Explorer und Visual Studio [http://www.buerger-cert.de/techwarnung_archiv.aspx?param=Zxo7YT%2f0plc%2fMekODhE1PQ%253d%253d] Bei ActiveX-Komponenten handelt es sich um vorkompilierte Software-Komponenten, die in einer Webseite als Aktiver Inhalt eingesetzt werden koennen. Derzeit ist der Internet Explorer von Microsoft der einzige Webbrowser, der ohne weitere Zusatzprogramme ActiveX-Komponenten ausfuehrt. ActiveX-Komponenten werden z.B. eingesetzt, um statische Webseiten um dynamische Bereiche zu erweitern. So koennen mit ActiveX-Komponenten beispielsweise auf Webseiten - Animationen, Videosequenzen und Musikdateien wiedergegeben, - Bildsteuerelemente und Schaltflaechen zum Anklicken dargestellt - oder auch Interaktionen mit dem Anwender durchgefuehrt werden. ActiveX-Komponenten in Webbrowsern stellen nach wie vor ein hohes Sicherheitsrisiko dar. Die Sicherheit von ActiveX-Komponenten muss im Wesentlichen von den Entwicklern einer solchen Komponente realisiert werden, da ActiveX kein eigenes Sicherheitsmodell mitbringt. Im Gegensatz zu Webtechnologien wie Java-Applets oder Silverlight-Applikationen, laufen ActiveX-Komponenten nicht in einer virtuellen Maschine oder Sandbox, sondern werden als nativer Programm-Code ausgefuehrt und verfuegen damit ueber dieselben Rechte wie jede andere ausgefuehrte Anwendung des angemeldeten Benutzers. Eine ActiveX-Komponente ist somit ein ausfuehrbares Windows-Programm, die Zugriff auf das Dateisystem, die Registry und alle weiteren Ressourcen des Betriebssystems hat. Eine ActiveX-Komponente birgt dementsprechend die selben Gefahren wie der Start eines (unbekannten) Programms. Ueber schaedliche oder fehlerhafte ActiveX-Komponenten kann Schadcode eines Angreifers in der Regel ohne Umstaende weitere Programme aus dem Internet nachladen und diese Programme in der Registry als Autostart-Programme oder selbststartende Dienste registrieren, so dass der schaedliche Code von diesem Zeitpunkt an den Rechner unter seiner Kontrolle hat. Neben Benutzer-Abfragen im Webbrowser, die den Anwender vor der Ausfuehrung einer ActiveX-Komponente warnen, stellt Microsoft mit den so genannten "Kill-Bits" eine Funktion zur Blockade einzelner ActiveX-Komponenten bereit. Stellt sich z.B. heraus, dass eine ActiveX-Komponente fuer den Internet Explorer fehlerhaft ist, kann diese durch das Setzen des "Kill-Bits" deaktiviert werden. Aber auch dieser Mechanismus scheint nicht in allen Faellen zu funktionieren und muss mit dem aktuellen Update vom 28.07.2009 nachgebessert werden. Das Buerger-CERT empfiehlt daher, grundsaetzlich auf Aktive Inhalte im Internet und besonders auf den Einsatz von ActiveX zu verzichten. Aufgrund der aktuellen Sicherheitsvorfaelle, der aktuellen Problematik der "Kill-Bits" und dem unvollstaendigen Sicherheitsmodell von ActiveX, empfiehlt das Buerger-CERT die ActiveX-Unterstuetzung im Internet Explorer ueber die Einstellungen unter Internet-Optionen zu deaktivieren [http://www.bsi-fuer-buerger.de/browser/browsercheck.htm], wenngleich es damit zu Einschraenkungen bei der Nutzung von Webseiten kommen kann. Weitere Informationen zum Thema Aktive Inhalte und ActiveX finden Sie auf den Webseiten des BSI unter http://www.bsi.bund.de/ oder http://www.bsi-fuer-buerger.de/. ----------------------------------------------------------------------- Die Extraausgabe "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot des Buerger-CERT. Die Informationen werden vom Bundesamt fuer Sicherheit in der Informationstechnik, http://www.bsi.bund.de, mit groesster Sorgfalt recherchiert und aufbereitet. Dennoch kann eine Gewaehr oder Haftung fuer die Vollstaendigkeit und Richtigkeit nicht uebernommen werden. Unter http://www.buerger-cert.de haben Sie die Moeglichkeit, den Newsletter zu abonnieren oder abzubestellen. Fragen und Anregungen an die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de |
Seiten mit Postings: | - SICHER o INFORMIERT Extraausgabe vom 29.07.2009 - | zum Seitenanfang |
|
Version 3.1 | Load: 0.001393 | S: 1_2 |