692678

Wie funktioniert das Kill-Bit?

08.05.2008 | 10:00 Uhr |

Wenn eine Active-X-Komponente für den Internet Explorer einen Bug hat, dann sollte der Hersteller dafür ein Update programmieren - vor allem, wenn es sich um eine Sicherheitslücke handelt. Ein Update zu erstellen, bedeutet aber oft viel Arbeit - und die sparen sich einige Software-Hersteller.

Das ruft Microsoft als Verantwortlichen für den IE auf den Plan: Man erstellt ersatzweise ein Kill-Bit. Das ist ein Eintrag in der Registry, der das Ausführen der fehlerhaften Active-X-Komponente verbietet. Sprich: Die fehlerhafte Anwendung wird blockiert.

Der technische Hintergrund: Jedes registrierte Active-X-Element hat eine eindeutige Nummer, die CLSID (Class Identifier). Anwendungen, die Kill-Bits respektieren, schauen vor dem Laden einer Active-X-Komponente in der Registry nach, ob für diese Komponente ein solcher Sperrvermerk eingetragen ist. Zu diesen Anwendungen gehört neben dem IE auch Microsoft Office. Diese und andere Programme, die Komponenten des IE zur Verarbeitung von Web-Inhalten benutzen, führen derart gesperrte Active-X-Elemente nicht mehr aus.

Die Sperre gilt nicht für alle: Eine Ausnahme sind HTA-Programme (Hypertext Application). Sie gelten deshalb als unsicher. Ebenso können Anwendungen, die Active X mit eigenen Routinen einsetzen und Kill-Bits nicht berücksichtigen, weiterhin auch diejenigen Komponenten laden, die per Kill-Bit gesperrt sind. Das Setzen des Kill-Bits verhindert zudem nur die Ausführung, nicht jedoch den Download und die Installation eines Active-X-Elements.

Liefert ein Entwickler eine neue , korrigierte Fassung seiner gesperrten Active-X-Komponente aus, muss er dieser eine neue CLSID geben. Damit Web-Seiten und Anwendungen diese neue Version verwenden, obwohl sie nur die alte CLSID kennen, kommt das so genannte Phoenix-Bit zum Einsatz. Dabei handelt es sich um einen weiteren Registry-Eintrag an gleicher Stelle, der eine alternative CLSID für die gesperrte Komponente festlegt - die CLSID der neuen Version.

Die Einträge für das Kill-Bit ("Compatibility Flags = 0x00000400 (1024)") und das Phoenix-Bit ("AlternateCLSID = <neue CLSID>") befinden sich im Registry-Schlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Active-X Compatibility\<CLSID>. Sehr detaillierte Informationen sowie weiterführende Links zu diesem Thema finden Sie in der englischsprachigen "Kill-Bit-FAQ" von Microsoft .

0 Kommentare zu diesem Artikel
692678