ActiveX bleibt gefährlich

ActiveX ist gefährlicher denn je. Zu diesem Schluss kommt das Computersicherheitsteam der US-Regierung, das Computer Emergency Readiness Team (US-Cert), in ihrem jüngsten Rundschreiben.

Die Gründe sind manigfaltig. Zum einen ist die Browser-Plug-in-Technik von Microsoft weit verbreitet und weist zahlreiche Schwachstellen auf. Zum anderen wird die Technik oft schlampig verwendet. Und schliesslich weichen Hacker auf Active-X aus, weil Microsoft das Betriebssystem Windows ständig stärker absichert.

Besonders gefährdet sind derzeit ActiveX-Plug-ins, die in Zusammenhang mit populären Webseiten entstehen. So warnt das US-Cert vor einem Zusatztool, mit dem sich Bilder auf Seiten wie My-Space und Facebook laden lassen. Zudem sind Multimedia-Anwendungen wie Jukebox von Yahoo-Music betroffen.

Aber nicht nur diese jüngsten Vorfälle sind der Grund für die Warnungen des US-Cert. Es ist die schiere Masse der im Web anzutreffenden ActiveX-Progrämmchen. «Hier können wir nicht einmal Microsoft die Schuld geben», meint ein Sprecher des Teams. «Jede Technik mit dieser Verbreitung ist anfällig und wird von Hackern ausgenutzt. Schliesslich wollen sie für ihre Mühe und Zeit, die sie investiert haben, möglichst viel Schaden anrichten», führt er weiter aus.

Randy Adams von der Firma Eset, einer Herstellerin von Anti-Malware-Tools, bringt einen weiteren Aspekt ins Spiel. Die zunehmende Sicherheit von Windows führt dazu, dass sich Hacker einfacheren Angriffszielen zuwenden werden. «ActiveX sind derzeit die Früchte, die für Hacker am tiefsten hängen», sagt er. Dazu kommt auch, dass viele Active-X-Controls für die Funktion der Webseiten gar nicht notwendig seien und rein verzierenden Charakter hätten.

Am schwersten wiegt jedoch, dass sehr viele der ActiveX-Progrämmchen geschrieben wurden, ohne dass die Entwickler Sicherheitsrichtlinien beachtet hätten, moniert Craig Schmugar, Malware-Jäger bei McAfee. Zudem sei es für Hacker einfacher geworden, die verwendeten ActiveX-Controls auf Schwachstellen abzuklopfen. «Es gibt eine ganze Reihe von frei verfügbaren Hacking-Tools, die darauf spezialisiert sind, Fehler in ActiveX-Programmen zu finden», fügt er an.

Was können also Firmen gegen die zunehmende Bedrohung durch verseuchte ActiveX-Controls unternehmen? Die Security-Experten schlagen vor, die jüngste Ausgabe von Microsofts Browser Internet Explorer 7 (IE) einzusetzen.

Denn die Redmonder haben diesen so umgeschrieben, dass die ActiveX nicht mehr im gleichen Mass wüten können, wie unter den Vorgängerausgaben des jetzigen IE. Beispielsweise kann das Ansichtsprogramm in einem geschützten Modus verwendet werden, in dem nur ActiveX ausgeführt werden, die Microsoft als sicher erachtet. «Das Problem ist nur, dass IE7 und auch Vista noch nicht sonderlich verbreitet sind», erklärt Schmugar.