News
14.07.2009, 09:58 Uhr
Microsoft hat Mut zur Lücke
Die erst kürzlich bekannt gewordene Sicherheitslücke in einer ActiveX-Komponente ist Microsoft schon vor mehr als einem Jahr gemeldet worden. Die Schwachstelle wird für Malware-Angriffe genutzt, ein Patch soll am nächsten Dienstag bereitgestellt werden.
Beim Patch Day am 14. Juli will Microsoft zwei Sicherheitslücken schliessen, die das Einschleusen von Malware über Schwachstellen in Video-Funktionen von Windows ermöglichen. Eine davon ist die seit Ende Mai bekannte DirectShow-Lücke, die andere die erst kürzlich veröffentlichte Anfälligkeit eines ActiveX-Elements. Dass diese ActiveX-Komponente unsicher ist, wusste Microsoft offenbar schon seit mehr als einem Jahr.
Das als «MSVidCtl» bezeichnete ActiveX-Steuerelement weist nach Angaben von Microsoft nicht nur die eine, bekannt gewordene Schwachstelle auf. Die Video-ActiveX-Komponente enthält laut Microsoft 45 anfällige Schnittstellen, über die Angriffe möglich wären. Nur eine davon wird bereits massiv für Webangriffe eingesetzt, um Malware einzuschleusen.
Bereits im Frühjahr 2008 hatten die IBM-Forscher Ryan Smith und Alex Wheeler aus der als «X-Force» bekannten Sicherheitsabteilung Microsoft auf Sicherheitslücken in MSVidCtl hingewiesen. Microsoft hat daraufhin genauer hingeschaut und etliche weitere Schwachstellen darin gefunden.
Potenziell betroffen ist nicht nur der Internet Explorer. Weitere Anwendungen wie Microsoft Office und Wordpad können das ActiveX-Element ebenfalls laden. Dies melden die IBM-Forscher in ihrem Fehlerbericht. In Windows Vista ist MSVidCtl laut Microsoft bereits nicht mehr über den Internet Explorer ansprechbar.
Fix it
Als die Sicherheitslücke Anfang Juli durch die Angriffe bekannt wurde, waren Microsofts Untersuchungen bereits soweit fortgeschritten, dass der Hersteller am 6. Juli eine Sicherheitsmeldung veröffentlichen konnte, die auch Empfehlungen für Schutzmassnahmen enthält. Wer diese «Fix it»-Lösung bereits angewendet hat, muss die Sicherheitsaktualisierung, die Microsoft beim Patch Day bereitstellen will, nicht unbedingt installieren.
Potenziell betroffen ist nicht nur der Internet Explorer. Weitere Anwendungen wie Microsoft Office und Wordpad können das ActiveX-Element ebenfalls laden. Dies melden die IBM-Forscher in ihrem Fehlerbericht. In Windows Vista ist MSVidCtl laut Microsoft bereits nicht mehr über den Internet Explorer ansprechbar.
Fix it
Als die Sicherheitslücke Anfang Juli durch die Angriffe bekannt wurde, waren Microsofts Untersuchungen bereits soweit fortgeschritten, dass der Hersteller am 6. Juli eine Sicherheitsmeldung veröffentlichen konnte, die auch Empfehlungen für Schutzmassnahmen enthält. Wer diese «Fix it»-Lösung bereits angewendet hat, muss die Sicherheitsaktualisierung, die Microsoft beim Patch Day bereitstellen will, nicht unbedingt installieren.
Microsoft empfiehlt dies jedoch, damit Sicherheitsprogramme kein fehlendes Update bemängeln. Wer das noch nicht getan hat, sollte wegen der andauernden Angriffe nicht bis zum Patch Day damit warten, rät Mike Reavey im Blog des Microsoft Security Response Center.
Kommentare
Es sind keine Kommentare vorhanden.
