ActiveX-Blockade und Update-Zwang sollen Sicherheit in Internet Explorer erhöhen

Internet Explorer gilt als einer der anfälligsten Browser. Mit ActiveX-Blockade und Update-Zwang will Microsoft jetzt die Sicherheit erhöhen.

Microsofts Webbrowser Internet Explorer steht häufig für vermeintliche oder tatsächlich Sicherheitsmängel in der Kritik, so auch vor kurzem in den „Endpoint Exploitation Trends H1 2014“ (PDF-Download) der Bromium Labs, die dem Internet Explorer gegenüber alternativen Browsern wie Mozilla Firefox und Google Chrome eine weitaus höhere Anfälligkeit für Zero-Day-Exploits bescheinigen.

Anf�lligkeit verschiedener Endpoint-Produkte f�r Zero-Day-Exploits laut Bromium Labs.

Anfälligkeit verschiedener Endpoint-Produkte für Zero-Day-Exploits laut Bromium Labs.

Während der Internet Explorer alleine in den ersten sechs Monaten des laufenden Jahres mit weit über 100 entdeckten Schwachstellen bereits knapp den Wert des gesamten Jahres 2013 übertroffen hat, schneiden Mozillas Firefox mit gut 50 Sicherheitslücken (2013: 150) und Google Chrome mit 50 (2013: knapp 200) zumindest im laufenden Jahr wesentlich besser ab. Laut Bromium Labs sticht der Internet Explorer damit für das erste Halbjahr 2014 unter allen untersuchten Endpoint-Produkten mit den meisten Zero-Day-Lücken heraus und hat entsprechend auch am meisten Patches erhalten.

Mit ActiveX-Blockade und Update-Zwang zu mehr Sicherheit im Internet Explorer

Um die Sicherheit des Internet Explorer zu verbessern hat Microsoft jetzt zwei neue Maßnahmen angekündigt und will die Zahl der unterstützten IE-Versionen drastisch reduzieren sowie veraltete ActiveX-Steuerelemente automatisch blockieren.

Bereits zum nächsten regulären Patchday am 9. September wird in Internet Explorer 8 – 11 die neue Sicherheitsfunktion „out-of-date ActiveX control blocking“ eingeführt, mit der nicht mehr aktuelle ActiveX Controls automatisch deaktiviert werden. Nutzern wird dann ein Popup-Fenster angezeigt, das über das blockierte Steuerelement informiert und zum Aktualisieren auffordert.

Microsoft begründet diesen Schritt damit, dass manche ActiveX Controls nicht über eine automatische Update-Funktion verfügen und veraltete Steuerelemente das Risiko einer Malware-Infektion über präparierte Webseiten erhöhen. Durch die Blockade dieser Controls soll die Sicherheit im Umgang mit Internet Explorer deutlich erhöht werden.

Popup-Fenster bei blockierten ActiveX Controls f�r IE 8-10 und IE 11.

Popup-Fenster bei blockierten ActiveX Controls für IE 8 und IE 9-11.

Vorerst begnügt sich Microsoft mit ActiveX Controls, die veraltete Java-Versionen nutzen, zukünftig sollen aber auch weitere Kriterien zur Blockade führen. Das ActiveX Control Blocking basiert auf einer von Microsoft gepflegten Liste, die als XML-Datei öffentlich einsehbar ist. Die ActiveX-Blockade greift ab Windows 7 SP1 aufwärts, funktioniert aber nicht im Intranet und mit vertrauenswürdigen Internetseiten.

Administratoren erhalten über vier neue Gruppenrichtlinien die Möglichkeit, die Blockade veralteter ActiveX Controls zu verwalten. Die Control Logging genannte Gruppenrichtlinie ermöglicht die Inventarisierung der erlaubten oder blockierten Steuerelemente, um so beispielsweise die Kompatibilität mit dem erweiterten geschützten Modus (Enhanced Protected Mode, EPM) des Internet Explorer 11 zu evaluieren.

Enforced Blocking nimmt Nutzern die Möglichkeit, veraltete Controls trotz Warnung auszuführen, während die Specific Domains-Gruppenrichtlinie das Ausführen veralteter ActiveX Controls für bestimmte Domänen erlaubt. Turn off Blocking schließlich deaktiviert die neue Sicherheitsfunktion komplett.

Gleichzeitig wurde auch das Support-Ende verschiedener IE-Versionen bekannt gegeben. Ab dem 12. Januar 2016 wird für alle unterstützten Windows-Versionen nur noch die jeweils neueste IE-Version weiterhin mit technischem Support und Sicherheitsupdates versorgt:

Windows-Plattform unterstützte IE-Version

Windows Vista SP2

Windows Server 2008 SP2

Windows 7 SP1

Windows Server 2008 R2 SP1

Windows 8.1

Windows Server 2012

Windows Server 2012 R2

Internet Explorer 9

Internet Explorer 9

Internet Explorer 11

Internet Explorer 11

Internet Explorer 11

Internet Explorer 10

Internet Explorer 11

Damit schränkt Microsoft die Anzahl unterstützter IE-Versionen drastisch ein und bündelt so Entwicklungs-Ressourcen, um die Sicherheit der weiter unterstützten Versionen einfacher gewährleisten zu können. Der Support des inzwischen deutlich in die Jahre gekommenen aber immer noch weit verbreiteten Internet Explorer 8 beispielsweise wird komplett eingestellt, Internet Explorer 9 und 10 müssen dann nur noch für Windows Vista SP2, Windows Server 2008 R2 und Windows Server 2012 mit Sicherheitsupdates versorgt werden.

Private Nutzer und Unternehmen allerdings werden mit diesem Schritt gezwungen, auf neuere IE-Versionen zu aktualisieren. Microsoft verweist in diesem Zusammenhang auf den Enterprise-Modus in Internet Explorer 11, der schon heute die Kompatibilität mit älteren IE-Versionen herstellen soll.

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Sicherheit von Webanwendungen

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close