Kein Patch für Internet Explorer außer der Reihe
Erst am Patch-Day wird offenes Sicherheitsloch im Internet Explorer geschlossen
Nun steht fest, dass Microsoft das im März 2006 bekannt gewordene Sicherheitsloch im Internet Explorer doch erst am kommenden Patch-Day schließen wird. Am 11. April 2006 sind außerdem drei Security Bulletins für Windows geplant, mit denen als kritisch eingestufte Sicherheitslücken geschlossen werden. Schließlich ist ein viertes Security Bulletin sowohl für Windows als auch Microsoft Office geplant.
Insgesamt wird Microsoft am kommenden Patch-Day fünf Security Bulletins veröffentlichen. Das eine Security Bulletin stellt den bereits angekündigten Sicherheits-Patch für den Internet Explorer dar und wird zudem den Umgang mit ActiveX verändern. Noch bis Juni 2006 will Microsoft Kompatibilitäts-Updates anbieten, um die bald obligatorische ActiveX-Änderung bis dahin zu umgehen. Ob der geplante Browser-Patch dann auch zwei weitere ebenfalls im März 2006 entdeckte Sicherheitslücken im Internet Explorer beseitigen wird, ist derzeit nicht bekannt.
Seit März 2006 bietet Microsoft bereits ein Update für den Internet Explorer an, das die notwendigen Änderungen durch das Eolas-Patent umsetzt. Mit dem kommenden Sammel-Patch für den Internet Explorer hält die ActiveX-Änderung erstmals Einzug in ein Sicherheits-Update. Die ActiveX-Modifikationen sorgen dafür, dass die Ausführung von ActiveX-Controls erst vom Anwender bestätigt werden muss, sofern diese über "APPLET", "EMBED" oder "OBJECT" geladen werden. Der Patentinhaber Eolas hätte sich gewünscht, dass Microsoft eine Patentlizenz erwirbt anstatt den Internet Explorer zu verändern. Nach Ansicht von Eolas sei das Verhalten Microsofts eine "Enttäuschung" und "Schande", weil damit die Bedienbarkeit des Internet Explorer eingeschränkt werde.
Vor mittlerweile rund zwei Wochen wurde die bald geschlossene Sicherheitslücke im Internet Explorer bekannt, über die Angreifer beliebigen Programmcode auf fremde Systeme schleusen können. Kurze Zeit später wurde bereits Schadcode im Internet entdeckt, der sich das Sicherheitsleck in dem JavaScript-Befehl createTextRange() zu Nutze macht.
Eine gute Woche nach Bekanntwerden der Sicherheitslücke im Internet Explorer haben die beiden IT-Sicherheitsunternehmen eEye und Determina jeweils inoffizielle Patches veröffentlicht. Mit beiden Patches soll sich das Sicherheitsleck schließen lassen, ohne auf die Notlösung zurückzugreifen, Active Scripting im Internet Explorer komplett abzuschalten. Das für IT-Sicherheitsfragen zuständige SANS Institute sah jedoch keine Notwendigkeit, einen der inoffiziellen Patches einzuspielen. Als wirksamer Schutz wird die Abschaltung von Active Scripting im Internet Explorer oder die Verwendung eines anderen Browsers empfohlen.
Drei der fünf für den 11. April 2006 geplanten Security Bulletins werden zudem Sicherheitslücken in Windows schließen. Das von den Sicherheitslecks ausgehende Risiko wird von Microsoft als kritisch eingestuft. Weniger gefährlich geht es bei dem fünften als moderat eingestuften Security Bulletin zu, das sich zugleich Windows und Office widmet.
Im Rahmen der Vorabinformationen zu Microsofts monatlichem Patch-Day nennt der Hersteller immer nur die Anzahl der geplanten Security Bulletins sowie die maximale Gefährdungsstufe. Mit einem Security Bulletin werden ab und an gleich mehrere Sicherheitslücken geschlossen, so dass derzeit nicht beziffert werden kann, wie viele Sicherheitslücken am Patch-Day korrigiert werden.
Wie seit längerem üblich, gibt Microsoft einige Tage vor dem monatlichen Patch-Day bekannt, für welche Produkte Sicherheits-Updates geplant sind.