214954

Mehrere Schutzebenen

29.07.2009 | 14:41 Uhr | Frank Ziemann

Black Hat Konferenz
Vergrößern Black Hat Konferenz
© 2014

Das Sicherheits-Update für den Internet Explorer betrifft alle Versionen außer den IE 8 unter Windows 7. Es verbessert den Schutz vor der Ausnutzung von ActiveX-Lücken, Microsoft nennt das "defense-in-depth". Das bedeutet, der Schutz ist mehrlagig - versagt die oberste Schutzebene, sollen eine zweite und dritte Schicht den Angriff abfangen.

Microsofts Logik führt dazu, dass das Security Bulletin zu Visual Studio nur mit der Risikostufe "mittel" bewertet ist, denn Benutzer von Visual Studio sind durch die Sicherheitslücken in der ATL nicht direkt gefährdet. Vielmehr sind die Benutzer von damit erstellten ActiveX-Steuerelemente einem Risiko ausgesetzt, ohne dies wissen zu können. Sie können auch wenig dagegen tun, es bleibt ihnen nur die Installation des neuen Sicherheits-Updates für den Internet Explorer. Die Alternative wäre ActiveX im IE komplett abzuschalten oder einen anderen Browser zu verwenden.

Bislang sind nach Microsofts Angaben keinerlei Details über die gestern gestopften Sicherheitslücken öffentlich bekannt - keine Demo-Exploits, keine Angriffe. Microsofts Eile erklärt sich nur dadurch, dass ein Vortrag heute auf der Sicherheitskonferenz Black Hat offen legen wird, wie die Sicherheitslücken in der ATL ausgenutzt werden können, um ein per Kill-Bit deaktiviertes, anfälliges ActiveX-Element zu laden. Dieser Eile ist wohl auch geschuldet, dass es noch keine deutschen Fassungen der Security Bulletins gibt.

PC-WELT Marktplatz

214954