169656

Wieder ein großes ActiveX-Loch

06.11.2006 | 08:26 Uhr |

Eine weitere Sicherheitslücke ist in der XMLHTTP-ActiveX-Komponente aufgetaucht und wird bereits von Websites eingenutzt, um schädlichen Code einzuschleusen. Microsoft hat dazu eine Sicherheitsempfehlung heraus gegeben.

Im Rahmen der monatlichen Sicherheits-Updates hatte Microsoft bereits im Oktober eine Schwachstelle in den XML Core Services gestopft ( MS06-061 ). Inzwischen ist erneut eine bereits aktiv ausgenutzte Sicherheitslücke im zugehörigen ActiveX-Element entdeckt worden.

In der bislang nur auf Englisch vorliegenden Sicherheitsempfehlung 927892 bestätigt Microsoft die Existenz dieser Anfälligkeit, die beim Besuch speziell präparierter Web-Seiten zum Einschleusen von beliebigem Code führen kann. Dieser Programm-Code wird dann mit den Rechten des angemeldeten Benutzers ausgeführt.

Als einstweilige Schutzmaßnahme empfiehlt Microsoft das Setzen des so genannten Kill-Bits für die anfällige ActiveX-Komponente, wodurch deren Ausführung im Internet Explorer verhindert wird. Alternative können Sie die Ausführung von ActiveX gänzlich deaktivieren oder zumindest auf "Eingabeaufforderung" setzen. Dies wird auch erreicht, wenn Sie die Sicherheitsstufe für die Internet-Zone und die lokale Intranet-Zone auf "hoch" einstellen.

Windows Server 2003 ist laut Microsoft nicht betroffen. Folglich sind offenbar andere Windows-Versionen einschließlich Windows XP SP2 mit allen Sicherheits-Updates anfällig für derartige Angriffe, sofern Version 4.0 der XML Core Services installiert ist ( Übersicht ). Über Windows Vista macht Microsoft in dieser Sicherheitsempfehlung keine Aussage, da es bislang nur als Vorabversion verfügbar ist.

0 Kommentare zu diesem Artikel
169656