SICHER o INFORMIERT
Extraausgabe vom 29.07.2009

Buerger-CERT empfiehlt die Deaktivierung der ActiveX-Unterstuetzung

Kritische Sicherheitsupdates fuer Microsoft Internet Explorer und
Visual Studio

Am so genannten Microsoft-Patchday, dem Tag im Monat, an dem die Firma
Microsoft in den vergangenen Monaten Sicherheitsupdates fuer ihre
Betriebssysteme und Anwendungen veroeffentlicht, wurden auch immer
wieder Luecken in so genannten ActiveX-Komponenten (engl.
ActiveX-Controls) gemeldet. Die aktuelle Bereitstellung von Patches
ausserhalb des regulaeren Patch-Zyklus (so genannte
Out-of-Band-Releases) schliesst kritische Luecken in den aktuellen
Versionen des Internet Explorers und sollten daher unverzueglich
eingespielt werden.

Buerger-CERT Technische Warnung: Ausserplanmaessige Sicherheitsupdates
fuer Internet Explorer und Visual Studio
[http://www.buerger-cert.de/techwarnung_archiv.aspx?param=Zxo7YT%2f0plc%2fMekODhE1PQ%253d%253d]

Bei ActiveX-Komponenten handelt es sich um vorkompilierte
Software-Komponenten, die in einer Webseite als Aktiver Inhalt
eingesetzt werden koennen. Derzeit ist der Internet Explorer von
Microsoft der einzige Webbrowser, der ohne weitere Zusatzprogramme
ActiveX-Komponenten ausfuehrt.

ActiveX-Komponenten werden z.B. eingesetzt, um statische Webseiten um
dynamische Bereiche zu erweitern. So koennen mit ActiveX-Komponenten
beispielsweise auf Webseiten

- Animationen, Videosequenzen und Musikdateien wiedergegeben,
- Bildsteuerelemente und Schaltflaechen zum Anklicken dargestellt
- oder auch Interaktionen mit dem Anwender durchgefuehrt

werden.

ActiveX-Komponenten in Webbrowsern stellen nach wie vor ein hohes
Sicherheitsrisiko dar. Die Sicherheit von ActiveX-Komponenten muss im
Wesentlichen von den Entwicklern einer solchen Komponente realisiert
werden, da ActiveX kein eigenes Sicherheitsmodell mitbringt.

Im Gegensatz zu Webtechnologien wie Java-Applets oder
Silverlight-Applikationen, laufen ActiveX-Komponenten nicht in einer
virtuellen Maschine oder Sandbox, sondern werden als nativer
Programm-Code ausgefuehrt und verfuegen damit ueber dieselben Rechte wie
jede andere ausgefuehrte Anwendung des angemeldeten Benutzers. Eine
ActiveX-Komponente ist somit ein ausfuehrbares Windows-Programm, die
Zugriff auf das Dateisystem, die Registry und alle weiteren Ressourcen
des Betriebssystems hat. Eine ActiveX-Komponente birgt dementsprechend
die selben Gefahren wie der Start eines (unbekannten) Programms.

Ueber schaedliche oder fehlerhafte ActiveX-Komponenten kann Schadcode
eines Angreifers in der Regel ohne Umstaende weitere Programme aus dem
Internet nachladen und diese Programme in der Registry als
Autostart-Programme oder selbststartende Dienste registrieren, so dass
der schaedliche Code von diesem Zeitpunkt an den Rechner unter seiner
Kontrolle hat.

Neben Benutzer-Abfragen im Webbrowser, die den Anwender vor der
Ausfuehrung einer ActiveX-Komponente warnen, stellt Microsoft mit den so
genannten "Kill-Bits" eine Funktion zur Blockade einzelner
ActiveX-Komponenten bereit. Stellt sich z.B. heraus, dass eine
ActiveX-Komponente fuer den Internet Explorer fehlerhaft ist, kann diese
durch das Setzen des "Kill-Bits" deaktiviert werden. Aber auch dieser
Mechanismus scheint nicht in allen Faellen zu funktionieren und muss mit
dem aktuellen Update vom 28.07.2009 nachgebessert werden.

Das Buerger-CERT empfiehlt daher, grundsaetzlich auf Aktive Inhalte im
Internet und besonders auf den Einsatz von ActiveX zu verzichten.

Aufgrund der aktuellen Sicherheitsvorfaelle, der aktuellen Problematik
der "Kill-Bits" und dem unvollstaendigen Sicherheitsmodell von ActiveX,
empfiehlt das Buerger-CERT die ActiveX-Unterstuetzung im Internet
Explorer ueber die Einstellungen unter Internet-Optionen zu deaktivieren
[http://www.bsi-fuer-buerger.de/browser/browsercheck.htm], wenngleich es
damit zu Einschraenkungen bei der Nutzung von Webseiten kommen kann.

Weitere Informationen zum Thema Aktive Inhalte und ActiveX finden Sie
auf den
Webseiten des BSI unter http://www.bsi.bund.de/ oder
http://www.bsi-fuer-buerger.de/.


-----------------------------------------------------------------------

Die Extraausgabe "SICHER o INFORMIERT" ist ein kostenloses
Service-Angebot des Buerger-CERT. Die Informationen werden vom Bundesamt
fuer Sicherheit in der Informationstechnik, http://www.bsi.bund.de, mit
groesster Sorgfalt recherchiert und aufbereitet. Dennoch kann eine
Gewaehr oder Haftung fuer die Vollstaendigkeit und Richtigkeit nicht
uebernommen werden.

Unter http://www.buerger-cert.de haben Sie die Moeglichkeit, den
Newsletter zu abonnieren oder abzubestellen. Fragen und Anregungen an
die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de