Nach den schweren Security-Lecks der vergangenen Wochen hat das US-amerikanische Computer Emergency Response Team (US-Cert)
Vor allem ActiveX-Komponenten stellen derzeit ein sehr hohes Sicherheitsrisiko dar. Über das Objekt “Shell.Application” können Schadensroutinen selbst auf jenen PCs eingeschleust werden, auf denen alle Updates und Patches installiert worden sind. Laut Computerwelt lässt sich das Leck auf die gleiche Weise nutzen wie eine Lücke in der Komponente “ADODB.Stream”, für die seit kurzem ein Patch zur Verfügung steht.
ActiveX ist eine Technologie, die automatisch Kleinstprogramme jeglicher Programmiersprache im Internet Explorer zur Ausführung bringt. Einmal zugelassen kann eine ActiveX-Komponente theoretisch Jahre später von außen reaktiviert werden. Wer die Lücke schließen will, muss alle aktiven Inhalte einer Webseite blockieren. Eingesetzt wird ActiveX überwiegend von US-amerikanischen, aber auch von europäischen Anbietern von Web-Conferencing-Technologien, um lästige Downloads bei interaktiven Meetings zu umgehen.
“Nahezu alle Anbieter von Web-Conferencing und Remote-Lösungen setzen auf ActiveX, eine tickende Zeitbombe”, kommentiert Andreas Klug, Vorstand des deutschen IT-Spezialisten bestSella. Usern wird empfohlen sich durch aktuelle Antiviren-Software zu schützen, sowie E-Mails nicht in HTML, sondern im Plain-Text-Format zu verfassen. ActiveX und Active Scripting sollten deaktiviert sein oder noch einfacher: Browserwechsel. Nach dem Bericht der Computerwelt hat Microsoft die ActiveX-Probleme bestätigt und bereits eine Reihe von Updates für den IE-Explorer angekündigt.