Nächste Woche Dienstag ist ja wieder Microsoft Patchday. Neben dem „August Update“ für Windows 8.1 wird es noch eine nette Neuerung für den Internet Explorer geben: Ein JAVA-Blocker für Altversionen.
Auf diesen Umstand weist mein MVP-Kollege Ed Bott hier bei ZDNet.com hin. JAVA ist ja quasi die „Sicherheitslücke“ schlechthin in Windows. Erst vorgestern hatte ich den Artikel JAVA 7 Update 67 freigegeben veröffentlicht, möchte aber nicht wissen, wie viele Systeme mit alten JAVA-Versionen laufen. Hier bei ZDNet.com gibt es noch einen netten Artikel über die aktuelle Situation im Hinblick auf Exploit-Kits. Laut dem letzten Microsoft Security Intelligence Report stellen JAVA Exploits 84,6% bis 98,5% aller entdeckten Exploit-Kits. JAVA ist wohl die Software, die am häufigsten durch Exploits angegriffen wird.
Zeit, das zu ändern. Nun macht Microsoft (endlich) Nägel mit Köpfen. Gemäß diesem Microsoft Blog-Beitrag ertüchtigt ein IE-Patch den Browser zukünftig veralterte ActiveX-Controls zu blockieren. Das funktioniert für folgende Browser-Varianten:
- Windows 7 SP: Internet Explorer 8 bis Internet Explorer 11
- Windows 8/8.1: Desktop-Version des Internet Explorer
Die Begrenzung auf die Desktop-Variante des IE bei Windows 8/8.1 hat einen einfachen Grund: In der IE App laufen keine ActiveX-Controls. Im IE werden die veralterten ActiveX-Steuerelemente in allen Sicherheitszonen (z.B. Internet Zone) blockiert – nur die Zonen für lokales Intranet und für Vertrauenswürdige Webseiten lassen die ActiveX-Steuerelemente noch zu. Wird ein ActiveX blockiert, erscheinen entsprechende Warnungen im IE (hier beschrieben).
Beachtet aber, dass installierte JAVA-Laufzeitumgebungen weiterhin unter Windows ausgeführt werden und außerhalb des IE ein Sicherheitsrisiko darstellen können. Im IE-Browser habe ich JAVA aus Sicherheitsgründen seit Jahren. Wie man JAVA generell im IE deaktiviert, habe ich vor langer Zeit im Blog-Beitrag Java im Browser deaktivieren beschrieben. Weitere Infos zum Sicherheitspatch findet ihr bei Microsoft im Blog-Beitrag sowie im Artikel bei ZDNet.
Update: Satz mit X – Microsoft hat das Feature laut heise.de gerade um 30 Tage verschoben.