In der Meldung vom CERT ist zu lesen:
There are a number of significant vulnerabilities in technologies relating to the IE domain/zone security model, the DHTML object model, MIME type determination, and ActiveX. It is possible to reduce exposure to these vulnerabilities by using a different web browser, especially when browsing untrusted sites. Such a decision may, however, reduce the functionality of sites that require IE-specific features such as DHTML, VBScript, and ActiveX. Note that using a different web browser will not remove IE from a Windows system, and other programs may invoke IE, the WebBrowser ActiveX control, or the HTML rendering engine (MSHTML).
Malicious Code
Bösartiger Code, manchmal als Scob, dann wieder als Download.Ject bezeichnet, usprünglich letzte Woche auf einer russischen Website aufgetaucht, konnte unbemerkt von Websites die auf dem Microsoft Internet Information Server 5.0 liefen, heruntergeladen werden. Der Code könnte dazu verwendet worden sein Eingaben auf der Website aufzuzeichnen, wenn die Besucher den Internet Explorer als Browser benutzten. Informationen – wie etwa Passwörter – werden daraufhin zu den kriminellen Angreifern, die hinter dieser Operation standen, per Email versandt.
Kein schlechter Rat
Probleme mit dem Internet Explorer häufen sich in der letzten Zeit und es sind durchaus schwerwiegende Sicherheitsmängel vorhanden. Es hilft wenig, diese Lücken geheim zu halten, wie ein Freund von mir meinte, denn dann würden sich kriminelle Energien weitaus stärker manifestieren. Aktuelle Microsoft Patches werden reverse engineered und damit steht dem Ausnutzen von Sicherheitsmängeln nichts mehr im Wege.
Ein Systemadministrator kann nur reagieren, indem er den Patch einspielt, oder – und das ist bei einem Produktivsystem wohl eher der Fall – indem er versucht das Loch vorerst über andere Wege zu stopfen. Später muss der Patch in Ruhe appliziert werden. Noch schlimmer ist die Situation wenn das Sicherheitsloch bekannt ist und der Patch vom Hersteller noch fehlt. Es ist dann auch eine Frage der Unternehmenspolitik wie lange zugewartet wird das Sicherheitsproblem publik zu machen, nachdem der Hersteller informiert wurde (je länger ich warte, desto wahrscheinlich nutzt ein anderer die Vulnerability). Auch hier hat wohl die althergebrachte Devise never change a running system
ausgedient!
Die Knoten an den Enden
Nun ja, Systemadmins sind Leute mit Verantwortung. Aber was ist mit den Menschen, die an den Endknoten des Internets sitzen – den Heimanwendern? Die Wenigsten verstehen die Problematik oder interessieren sich auch nur dafür. Sie wollen ihr System benutzen und nicht dauern flicken. Darum: Software muss weniger komplex und von höherer Qualität sein damit sich diese Probleme in den Griff kriegen lassen.
