ActiveX-Schwachstelle
Tippfehler führte zur IE-Lücke
Wie inzwischen bekannt und von Microsoft bestätigt wurde, hat ein einziges überflüssiges Zeichen in dem Programm-Code von Visual Studio zu einer ausnutzbaren Sicherheitslücke in ActiveX-Elementen geführt hat.
Am 28. Juli hat Microsoft zwei unplanmäßige Security Bulletins veröffentlicht, um Sicherheitslücken im Internet Explorer sowie in Visual Studio zu beseitigen. Microsoft hat mittlerweile bestätigt, dass ein simpler Tippfehler die Ursache des Sicherheitsproblems geliefert hat. Der Fehler steckt in einer Programmiervorlage für ActiveX-Steuerelemente, die Microsoft-intern verwendet wurde.
Ein schlichtes "&" zu viel an der falschen Stelle und schon wird eine nicht genau bekannte Zahl von ActiveX-Steuerelementen anfällig für Angriffe. Unter den betroffenen ActiveX-Elementen ist auch die Video-Komponente "MSVidCtl", die seit Anfang Juli Schlagzeilen gemacht und den Stein ins Rollen gebracht hat. Die Sicherheitslücke ermöglicht das Einschleusen und Ausführen beliebigen Codes über den Internet Explorer. Der Tippfehler steckt in einer bei Microsoft intern verwendeten Fassung der Active Template Library (ATL), die zu Visual Studio gehört.
Microsoft hatte bereits beim letzten Patch Day am 14. Juli ein Kill-Bit-Update bereit gestellt, das die anfällig Video-ActiveX-Komponente im Internet Explorer blockieren soll. Gestern haben Forscher auf der Sicherheitskonferenz Black Hat in Las Vegas jedoch demonstriert, dass sich derart gesperrte ActiveX-Elemente über andere, nicht blockiert ActiveX-Komponente laden lassen. Microsoft war vorab darüber informiert und hatte am Dienstag Abend zwei Security Bulletins veröffentlicht, um diese Löcher zu stopfen.
Mit der Bereitstellung von Updates für den IE und Visual Studio ist das Problem jedoch noch nicht vom Tisch. Eine unbekannte Zahl von ActiveX-Steuerelementen, sowohl von Microsoft als auch von Dritten, muss mit der korrigierten ATL neu kompiliert und an die Anwender verteilt werden.
