Neustes Sicherheitsupdate für Internet Explorer: nur ein halber Patch?

Ende Juni warnten Sicherheitsexperten vor einem neuen Schädling namens JS.Scob.Trojan (von Microsoft "Download.Ject" genannt) [1]. Er infizierte zahlreiche Webserver. Danach lud er heimlich einen weiteren Trojaner namens W32/Berbew von einem russischen Server auf die PCs der Webseitenbesucher. Die Programmierer nutzten dazu zwei Schwachstellen im Internet Explorer. Mittlerweile ist der russische Server vom Netz gekappt worden [2]. W32/Berbew kann sich also nicht mehr verbreiten.

Microsoft hat dieses Wochenende zusätzlich ein Sicherheitsupdate nachgereicht, das die Gefahr von Nachahmungstätern bannen soll. Es steht über das automatische Windows-Update zum Download bereit [3]. Benutzer von älteren Betriebssystemen wie Win 98 und ME können ihn auf der Microsoft-Download-Seite herunterladen [4]. Der Patch deaktiviert durch eine Änderung in der Registry [5] die Ausführung von so genannten ADODB.Stream-Objekten im Internet Explorer. ADODB.Stream kann von Webapplikationen dazu benutzt werden, um Dateien zu lesen oder auf die Harddisk zu kopieren.

Wie ein neuer Beitrag in der Sicherheits-Mailinglist Full-Disclosure zeigt [6], ist der Nutzen des neuen Microsoft-Patches jedoch gering. Der Schutz kann einfach umgangen werden, indem der Angreifer statt dem ADODB.Stream-Objekt ein anderes Objekt namens Shell.Application verwendet. Damit surfen IE-Benutzer genauso unsicher wie vorher. Unsere Schwesterzeitschrift PC-Welt empfiehlt deshalb, auch die Ausführung von Shell.Application-Objekten mit einem Registry-Eintrag zu unterbinden. Sie hat dafür ein spezielles Tool erstellt [7]. Der Nachteil: Nach der Änderung funktionieren viele Websites nicht mehr richtig. Als Alternative bleibt, auf einen anderen Browser wie Mozilla [8] und Opera [9] auszuweichen oder die Ausführung von Skripts nur noch auf vertrauenswürdigen Seiten zuzulassen. Eine Anleitung dazu finden Sie im PCtipp-Artikel "Sicher und voll funktionsfähig" [10].