Patch für ActiveX-Lücke im IE

Microsoft bietet einen Critical-Patch für eine Sicherheitslücke in den ActiveX-Controls des Internet Explorers an. Ohne den Patch ist es unter Umständen möglich, Dateien auf der Festplatte zu überschreiben.

Mit dem Active-Setup-Control können CAB-Dateien heruntergeladen und auf der Festplatte gespeichert werden. Das Problem dabei ist, dass ActiveX alle CAB-Dateien, die von Microsoft stammen, als vertrauenswürdig behandelt und sie ohne weitere Abfrage auf der Festplatte des Benutzers speichert. Der "Absender" der Dateien kann dabei den Speicherpfad festlegen. Damit könnte ein Angreifer versuchen, mittels einer Microsoft-CAB-Datei auf dem Rechner des Benutzers Dateien zu überschrieben, indem er als Speicherort zum Beispiel den gängigen Pfad zu Windows-Dateien angibt.

ActiveX erlaubt es laut Microsoft auf diesem Weg nicht, Dateien auszuführen. Die Gefahr besteht also ausschließlich darin, dass Dateien überschrieben werden. Den Patch, der das Problem behebt, bietet Microsoft zum Download an. Er hilft nur bei der Version 4.01 (SP2) und 5.01 des Internet Explorers. Bei allen vorherigen Versionen bleibt die Lücke bestehen und erfordert zuerst ein Update des Internet Explorers.

Ein tecChannel-Report beschreibt weitere Sicherheitslücken des Internet Explorer und bietet Links zu den entsprechenden Patches. (uba)