Zum nächsten Patchday am kommenden Dienstag, den 12. August, wird Microsoft auch ein wichtiges Sicherheitsupdate für seinen Browser Internet Explorer veröffentlichen. Es führt auf Systemen mit Windows 7 Service Pack 1 oder Windows 8.x eine Blockfunktion für veraltete ActiveX Controls ein, wie Microsoft im IE-Blog erläutert.
ActiveX Controls, die die Fähigkeiten des Internet Explorer auf nützliche, aber potenziell gefährliche Weise erweitern, bereiten Windows-Nutzern schon seit über einem Jahrzehnt Kopfschmerzen. Verbesserungen am Design von ActiveX haben mit der Zeit die Angriffsfläche verringert. Das neue Framework soll sicherstellen, dass Angreifer keine bekannte Schwachstellen in ActiveX Controls ausnutzen können, die installiert, aber nicht auf die jüngste Version aktualisiert wurden.
Zum Start zielt das neue Feature vor allem auf das gefährlichste von allen ActiveX Controls ab: Java. Über die Jahre hat sich Java zum bevorzugten Angriffsziel von Malware-Autoren entwickelt, die wissen, dass auf vielen Windows-PCs und Macs eine veraltete Java-Version läuft. Sie haben den Prozess sogar automatisiert, indem sie Exploit-Kits auf manipulierten Websites einsetzen, um Malware mittels Drive-by-Angriffen auf Systemen mit veralteten Java-Versionen zu installieren.
In seiner Ankündigung zitiert Microsoft seinen jüngsten Security Intelligence Report, laut dem Java-Exploits im Jahr 2013 mehr als 80 Prozent aller mit Exploit-Kits zusammenhängenden Entdeckungen ausmachten. In allen Fällen zielten die automatisierten Attacken auf Schwachstellen ab, für die bereits ein Fix verfügbar war. Doch PCs, auf denen dieser nicht installiert war, waren natürlich dennoch ein einfaches Ziel.
Das neue Sicherheits-Feature setzt auf eine regelmäßig aktualisierte XML-Datei, die auf Microsoft Servern gehostet wird, um ActiveX Controls zu identifizieren, die nicht geladen werden dürfen. Die erste Ausgabe von versionlist.xml kennzeichnet ältere Versionen von Java, die bekanntermaßen unsicher sind. Laut Microsoft werden mit der Zeit weitere veraltete und möglicherweise gefährliche ActiveX Controls der Liste hinzugefügt.
Nach Installation des Updates werden alle unterstützten Versionen des Internet Explorer (IE 8 bis 11 unter Windows 7 und IE für Desktop unter Windows 8.x) die serverseitige Sperrliste abfragen, wenn sie ein ActiveX Control auf einer Webseite ausmachen. Sollte die verwendete Version als veraltet gelistet sein, wird das ActiveX Control nicht ausgeführt und der Nutzer darauf hingewiesen, die neueste, voraussichtlich sichere Ausgabe zu installieren.
Microsoft zufolge stehen folgende Versionen zunächst auf der Sperrliste: J2SE 1.4 bis aber nicht inklusive Update 43, J2SE 5.0 vor Update 71, Java SE 6 vor Update 81, Java SE 7 vor Update 65 sowie Java SE 8 vor Update 11.
Privatnutzer werden auch weiterhin die Möglichkeit haben, potentiell unsichere ActiveX Controls auszuführen, aber ein auffälliger Warnhinweis soll künftig Drive-by-Angriffe verhindern helfen. In Unternehmensnetzwerken können IT-Profis die Konfiguration so ändern, dass die veraltete Java-Version blockiert und nicht ausgeführt wird. Für Sites, die eine bestimmte ältere Java-Version benötigen, lässt sich die Adresse der Webseite zu den Zonen „Lokales Intranet“ oder „Vertrauenswürdige Sites“ hinzufügen, in denen die ActiveX-Sperre nicht aktiv ist.
Weitere Neuerungen für Windows-Netzwerkadministratoren sind zusätzliche Gruppenrichtlinienoptionen, die eine Protokollierung, eine zentrale Verwaltung von Whitelist-Domains und die Möglichkeit mitbringen, die Richtlinien vollständig abzuschalten. Weite Einzelheiten dazu finden sich in dem Blogbeitrag von Fred Pullen, Produktmanager für Internet Explorer, und Jasika Bawa, Program Manager Security.
Mit der nächste Woche eingeführten Sperrfunktion schließt Microsofts Internet Explorer zu anderen Windows-Browsern auf, die schon länger ähnliche Features bieten. Beispielsweise nutzt Mozillas Firefox eine Plug-in-Blockliste, auf der sich Java-7-Plug-ins vor Update 44 und Java-6-Plug-ins vor Update 45 finden. Google hat für Chrome solch eine Sperrliste schon 2011 eingeführt. Und auch Apple kennzeichnet regelmäßig veraltete Java-Versionen und blockiert entsprechende Plug-ins in Safari.
[mit Material von Ed Bott, ZDNet.com]
Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…