Microsoft bestätigt kritische Webview-Lücke

In einem Sicherheitsbericht bestätigt Microsoft das gestern gemeldete Sicherheitsproblem im Zusammenhang mit dem ActiveX-Control WebViewFolderIcon. Speziell präparierte Web-Seiten könnten darüber in die Windows Systeme von Nutzern des Internet Explorer beispielsweise Spyware oder Keylogger einschleusen.

Allerdings sei die eigentliche Ursache des Problems ein Fehler der Windows Shell, der sich über Webview ausnutzen lasse. Einen Patch avisieren die Redmonder für den nächsten Patchday am 10.10. Bis dahin sollten sich Anwender mit Workarounds behelfen, wie dem bereits vom US-CERT empfohlenen Setzen des Kill-Bits, das die Ausführung des Controls im Internet Explorer unterbindet. Alternativ könne man auch das Ausführen von ActiveX-Controls auf "Nachfragen" oder die Sicherheitsstufe für die Internet-Zone auf hoch setzen. Der c't-Browsercheck hilft bei der sicheren Konfiguration des Internet Explorer. Dass die Verwendung eines anderen Browsers ebenfalls Schutz gegen Lücken in ActiveX-Controls bietet, erwähnt das Advisory nicht.

Angesichts von nunmehr zwei kritischen IE-Lücken -- auch für das DirectAnimation-Loch gibt es noch keinen Patch -- ist in der Tat große Vorsicht angebracht. Für die WebView-Lücke existiert sogar ein Metasploit-Modul, mit dem sich sehr flexible Exploits bauen lassen, die von Antiviren-Software nur sehr schwer zu entdecken sind. Es ist damit zu rechnen, dass die kriminellen Banden sehr schnell dazu übergehen werden, Web-Sites nun auch mit Exploits für diese Lücke zu präparieren.

Siehe dazu auch: (ju)

• Vulnerability in Windows Shell Could Allow Remote Code Execution, Sicherheitsnotiz von Microsoft