Sicherheitsrisiko Internet Explorer

Artikel erschienen in Swiss IT Reseller 2002/22 – Seite 1
Link auf diesen Artikel als E-Mail versenden
X
Empfänger:
Ihr Name:
Ihre Mailadresse:
16. Dezember 2002 - Ohne grundsätzliche Änderungen am Design wird es Microsoft nicht gelingen, den Internet Explorer längerfristig sicher zu machen.
Innerhalb von nur zwei Wochen musste Microsoft zwei Security-Patches für den Internet Explorer veröffentlichen. Im neuesten Fall spielte der Software-Hersteller die Bedeutung stark herunter und stufte die Bedrohung als nur gerade «mässig» ein, obwohl offenbar ein paar Zeilen Java Script genügten, um ganze Dateien auszulesen und Programme zu starten.
Thor Larholm, Sicherheitsberater bei Pivx Solutions, empörte sich öffentlich: «Toll, da stuft Microsoft die willkürliche Befehlsausführung, den Zugriff auf Dateien und das Eindringen in einen Rechner als ‘moderate Bedrohung’ ein!» Er warf Microsoft vor, das Sicherheitsproblem aus Angst vor einer schlechten Presse bewusst herunterzuspielen.
Unterdessen hat Microsoft die mittlerweile gestopften Sicherheitslücken im Internet Explorer 5.5 und 6.0 doch noch als «kritisch» eingestuft www.microsoft.com/technet/treeview/
default.asp?url=/technet/security/bulletin/MS02-068.asp). Redmond meinte dazu gegenüber ZDnet lapidar, dass man bei der ursprünglichen Einstufung halt ein Detail übersehen habe. Eine auf www.Ntbugtraq.org veröffentlichte Information habe zu weiteren Nachforschungen geführt.

Schwachpunkte Active Scripting und ActiveX

Damit ist das Problem allerdings nicht aus der Welt. Die Erfahrungen mit Nimda und Code Red haben zudem gezeigt, dass Patches selbst auf Servern oft nach Monaten noch nicht installiert sind. Und Larholm nennt auf seiner Site (www.pivx.com/larholm/unpatched) immer noch 19 nicht gestopfte Löcher im Internet Explorer.
Nach Meinung mancher Experten bleibt der Internet Explorer ein Sicherheitsrisiko, weil er zwei grundsätzliche Schwachstellen aufweist: Active Scripting und ActiveX. Da Microsoft den Internet Explorer sehr weitgehend in das Betriebssystem integriert hat, greifen andere Programme darauf zu. Microsoft hat dafür Java Script über das hinaus ausgebaut, was ein «normaler» Browser an Funktionalität benötigt. Die Microsoft-Version JScript kann Dateien öffnen oder löschen, Programme starten und mit Prozessen kommunizieren.
Überdies kann auf einem Windows-Rechner jedes dafür vorgesehene Programm über ActiveX mit anderen Objekten kommunizieren und diese steuern. Bei anderen Browsern übernehmen Plug-Ins diese Rolle. Im Prinzip bergen sie ähnliche Risiken. Es handelt sich jedoch um einzelne, spezielle Erweiterungen, die sich deaktivieren oder entfernen lassen, ohne dass dadurch die Funktionsfähigkeit des gesamten Systems beeinträchtigt wird. ActiveX-Objekte hingegen kann der IE-Benutzer weder einzeln an- und ausschalten, noch mit einfachen Mitteln deinstallieren.
 
1 von 2

Neuen Kommentar erfassen

Kommentare werden vor der Freischaltung durch die Redaktion geprüft.
Anti-Spam-Frage:
Wieviele Zwerge traf Schneewittchen im Wald?
Antwort:
Name:
E-Mail:
NEUESTE
EMPFEHLUNGEN
MEISTGELESENE
NEWSLETTER ABONNIEREN
Der tägliche Newsletter mit den wichtigsten Meldungen aus der IT- und CE-Branche.
Bitte Feld nicht ausfüllen:
E-Mail
SWICO AKTUELL
GOLD SPONSOREN
SPONSOREN & PARTNER