Schwerwiegende Sicherheitsmängel
im MS Internet Explorer

Der folgende Artikel erschien in der Benutzerinformation "BI 364" des RRZN der Universität Hannover. Da dieses Problem auch für Benutzer an der TU Chemnitz akut ist, möchten wir ihn hier wiedergeben. Vielen Dank für die Erlaubnis an Herrn H.-J. Hille.

In den letzten Wochen/Monaten wurde eine Reihe schwerwiegender Sicherheitsmängel im MS Internet Explorer (IE) bekannt. Diese Mängel können zu gravierenden Konsequenzen führen! Beispielsweise ist es möglich, dass während des Surfens unbemerkt fremder Code auf dem eigenen Rechner implementiert wird, der in der Lage ist, alle Dateien zu löschen, für die man Schreibrechte besitzt; damit sind nicht nur Dateien des eigenen Rechners, sondern möglicherweise auch gemeinsam genutzte Dateien in einem Institutsnetz gefährdet. Microsoft hat zwar etliche Patches herausgegeben, jedoch ist nicht in allen Fällen klar, in welchem Umfang die Probleme tatsächlich behoben wurden; zu einigen Problemen gibt es auch noch keine Patches. Eine weitgehend aktuelle Liste der offenen IE-Sicherheitsmängel ist unter www.pivx.com/larholm/unpatched/ zu finden. Ausführliche Informationen zu der hier angeschnittenen Problemlage bezüglich des IE enthält der Artikel »Nicht trustworthy« in der Zeitschrift »c't« des Heise-Verlages, Heft 25/2002; weitere Links siehe auch unter [a].

Prinzipiell ist hierzu festzustellen, dass aufgrund der MS-Strategie, den Internet Explorer möglichst weit gehend in das Betriebssystem zu integrieren, die Abgrenzung zwischen lokaler Nutzung und Internet-Nutzung verwischt wird. Dies führt bei Sicherheitsmängeln naturgemäß zu wesentlich höheren Risiken für das lokale System als bei anderen Browser-Produkten, die nicht derartig integriert sind.

Dieser Sachverhalt, der an sich bekannt und daher nicht neu ist, veranlasst uns auf Grund der zahlreichen akuten Sicherheitsmängel und der damit verbundenen durchaus als kritisch einzuschätzenden Risikolage zu folgenden Sicherheitsempfehlungen:

  1. Nach Möglichkeit sollte auf die Verwendung des Internet Explorers ganz verzichtet werden. Als Alternativen bieten sich beispielsweise Mozilla, Netscape oder Opera an; Links siehe unter [b].
  2. Soweit der Internet Explorer weiterhin verwendet werden soll oder muss, sollten sofort - und auch zukünftig zeitnah - alle aktuellen Sicherheitspatches eingefahren werden; Link siehe unter [c].
  3. Bei Verwendung des Internet Explorers sollten - unbeschadet weiterer Maßnahmen und Einstellungen - die Sicherheitseinstellungen der Internet-Zone grundsätzlich auf hoch gesetzt sein; lediglich für den Besuch ausgesuchter vertrauenswürdiger Sites kann die Einstellung auf mittel reduziert werden.
  4. Eine Sicherheitsüberprüfung von Browsern ist mittels eines Browserchecks möglich; Link siehe unter [d]. Zu beachten ist, dass nur auf einen Teil bekannter Lücken geprüft werden kann; insofern darf ein gegebenenfalls »gutes« Ergebnis nicht zu unrealistischen Sicherheitserwartungen führen!
  5. Beim Surfen sollte sicherheitsbewusstes Verhalten das Gebot sein; siehe auch unter [e]. Vermieden werden sollten insbesondere Besuche auf unbekannten oder »zweifelhaften« Web-Seiten.
    Dies gilt zwar ohnehin grundsätzlich; bei Verwendung des Internet Explorers bestehen jedoch aus den oben genannten Gründen deutlich höhere Risiken. Gegebenenfalls vorhandene (Personal) Firewalls helfen gegen derartige Surf-Risiken absolut nichts, da sie gefährliche Codes bzw. Scripte nicht erkennen können.

Nähere Einzelheiten/Links:

[a]
Der in der Zeitschrift c't 2002/25 behandelte Themenkomplex »Sicherheitsrisiko Internet Explorer« besteht aus drei Artikeln. Den ersten »Nicht ›trustworthy‹« finden Sie auch online unter http://www.heise.de/ct/02/25/100/. Die beiden weiteren Artikel »Schutz befohlen« (Sicherungsmöglichkeiten für den Internet Explorer) und »Surfen ohne e« (Alternativ-Browser) stehen online nicht zur Verfügung. Jedoch finden Sie für alle drei Artikel Links und Softlinks, auf die in den Artikeln verwiesen wurde unter http://www.heise.de/ct/02/25/urls/ (im Text unter Seite 100, 102 und 106).

[b]
http://www.mozilla.org/releases/
http://channels.netscape.com/ns/browsers/download.jsp
http://www.opera.com/download/index.dml?custom=yes

[c]
http://www.microsoft.com/windows/ie_intl/de/download/default.asp

[d]
http://www.heise.de/ct/browsercheck/

[e]
Abschnitt »Verkehrsregeln beim Surfen«, Seiten 117 - 132 von Teil 2 des Kursus »Sicherheit für Anwender« der RRZN-Sicherheitstage 2002:
http://www.rrzn.uni-hannover.de/Security/SicherheitfuerAnwender2Nov02.pdf

Autor: H.-J. Hille
Bearbeitet für TU Chemnitz: Frank Richter, Februar 2003