Innerhalb von nur zwei Wochen musste
Microsoft zwei Security-Patches für den Internet Explorer veröffentlichen. Im neuesten Fall spielte der Software-Hersteller die Bedeutung stark herunter und stufte die Bedrohung als nur gerade «mässig» ein, obwohl offenbar ein paar Zeilen Java Script genügten, um ganze Dateien auszulesen und Programme zu starten.
Thor Larholm, Sicherheitsberater bei Pivx Solutions, empörte sich öffentlich: «Toll, da stuft Microsoft die willkürliche Befehlsausführung, den Zugriff auf Dateien und das Eindringen in einen Rechner als ‘moderate Bedrohung’ ein!» Er warf Microsoft vor, das Sicherheitsproblem aus Angst vor einer schlechten Presse bewusst herunterzuspielen.
Unterdessen hat Microsoft die mittlerweile gestopften Sicherheitslücken im Internet Explorer 5.5 und 6.0 doch noch als «kritisch» eingestuft www.microsoft.com/technet/treeview/
default.asp?url=/technet/security/bulletin/MS02-068.asp). Redmond meinte dazu gegenüber ZDnet lapidar, dass man bei der ursprünglichen Einstufung halt ein Detail übersehen habe. Eine auf www.Ntbugtraq.org veröffentlichte Information habe zu weiteren Nachforschungen geführt.
Schwachpunkte Active Scripting und ActiveX
Damit ist das Problem allerdings nicht aus der Welt. Die Erfahrungen mit Nimda und Code Red haben zudem gezeigt, dass Patches selbst auf Servern oft nach Monaten noch nicht installiert sind. Und Larholm nennt auf seiner Site (www.pivx.com/larholm/unpatched) immer noch 19 nicht gestopfte Löcher im Internet Explorer.
Nach Meinung mancher Experten bleibt der Internet Explorer ein Sicherheitsrisiko, weil er zwei grundsätzliche Schwachstellen aufweist: Active Scripting und ActiveX. Da
Microsoft den Internet Explorer sehr weitgehend in das Betriebssystem integriert hat, greifen andere Programme darauf zu. Microsoft hat dafür Java Script über das hinaus ausgebaut, was ein «normaler» Browser an Funktionalität benötigt. Die Microsoft-Version JScript kann Dateien öffnen oder löschen, Programme starten und mit Prozessen kommunizieren.
Überdies kann auf einem Windows-Rechner jedes dafür vorgesehene Programm über ActiveX mit anderen Objekten kommunizieren und diese steuern. Bei anderen Browsern übernehmen Plug-Ins diese Rolle. Im Prinzip bergen sie ähnliche Risiken. Es handelt sich jedoch um einzelne, spezielle Erweiterungen, die sich deaktivieren oder entfernen lassen, ohne dass dadurch die Funktionsfähigkeit des gesamten Systems beeinträchtigt wird. ActiveX-Objekte hingegen kann der IE-Benutzer weder einzeln an- und ausschalten, noch mit einfachen Mitteln deinstallieren.
Cross-Site-Scripting-Policy
Eigentlich ist es die Aufgabe der Cross-Site-Scripting-Policy, zu verhindern, dass ein Skript von einer Website Zugriff auf Dokumente oder Objekte hat, die von einem anderen Server stammen oder auf dem lokalen Rechner gestartet wurden. Künstliche Grenzen sind jedoch selten wirklich dicht. Viele der in letzter Zeit veröffentlichten Sicherheitslücken im Internet Explorer beruhen auf Schwächen in der Cross-Site-Scripting-Policy.
Sicher wird
Microsoft auch in Zukunft bekannt gewordenen Bedrohungen mit Sicherheits-Patches entgegentreten. Doch verschiedene Sicherheitsexperten vertreten die Meinung, dass es ohne grundsätzliche Änderungen am Design kaum gelingen werde, den Internet Explorer längerfristig sicher zu machen. (fis)
