173286

Microsoft kennt Video-ActiveX-Lücke schon lange

10.07.2009 | 16:28 Uhr |

Die erst kürzlich bekannt gewordene Sicherheitslücke in einer ActiveX-Komponente ist Microsoft schon vor mehr als einem Jahr gemeldet worden. Die Schwachstelle wird für Malware-Angriffe genutzt, ein Patch soll am kommenden Dienstag bereit gestellt werden.

Beim Patch Day am 14. Juli will Microsoft zwei Sicherheitslücken schließen, die das Einschleusen von Malware über Schwachstellen in Video-Funktionen von Windows ermöglichen. Eine davon ist die seit Ende Mai bekannte DirectShow-Lücke , die andere die erst kürzlich veröffentlichte Anfälligkeit eines ActiveX-Elements . Dass diese ActiveX-Komponente unsicher ist, wusste Microsoft offenbar schon seit mehr als einem Jahr.

Das als "MSVidCtl" bezeichnete ActiveX-Steuerelement weist nach Angaben von Microsoft nicht nur die eine, bekannt gewordene Schwachstelle auf. Die Video-ActiveX-Komponente enthält laut Microsoft 45 anfällige Schnittstellen, über die Angriffe möglich wären. Nur eine davon wird bereits massiv für Web-Angriffe eingesetzt, um Malware einzuschleusen.

Bereits im Frühjahr 2008 hatten die IBM-Forscher Ryan Smith und Alex Wheeler aus der als "X-Force" bekannten Sicherheitsabteilung Microsoft auf Sicherheitslücken in MSVidCtl hingewiesen. Microsoft hat daraufhin genauer hin geschaut und etliche weitere Schwachstellen darin gefunden.

Potenziell betroffen ist nicht nur der Internet Explorer. Weitere Anwendungen wie Microsoft Office und Wordpad können das ActiveX-Element ebenfalls laden. Dies melden die IBM-Forscher in ihrem Fehlerbericht . In Windows Vista ist MSVidCtl laut Microsoft bereits nicht mehr über den Internet Explorer ansprechbar.

Als die Sicherheitslücke Anfang Juli durch die Angriffe bekannt wurde, waren Microsofts Untersuchungen bereits soweit fortgeschritten, dass der Hersteller am 6. Juli eine Sicherheitsmeldung veröffentlichen konnte, die auch Empfehlungen für Schutzmaßnahmen enthält. Wer diese "Fix-it"-Lösung bereits angewendet hat, muss die Sicherheitsaktualisierung, die Microsoft beim Patch Day bereit stellen will, nicht unbedingt installieren.

Microsoft empfiehlt dies jedoch, damit Sicherheitsprogramme kein fehlendes Update bemängeln. Wer das noch nicht getan hat, sollte wegen der andauernden Angriffe nicht bis zum Patch Day damit warten, rät Mike Reavey im Blog des Microsoft Security Response Center (MSRC).

0 Kommentare zu diesem Artikel
173286