Internet Explorer blockiert veraltete ActiveX-Steuerelemente

Wir möchten unseren Browsersicherer machen. Daher blockiert Internet Explorer ab dem 9. September veraltete ActiveX-Steuerelemente. Hinweis: Im ursprünglichen Beitrag wurde der 12. August als Starttermin für die Blockierung veralteter ActiveX-Steuerelemente genannt. Weitere Informationen finden Sie im Nachtrag.

Bei ActiveX-Steuerelementen handelt es sich um kleine Apps, die das Bereitstellen von Inhalten (z. B. Videos und Spiele) auf Websites und die Verwendung von Inhalten wie Symbolleisten ermöglichen. Da viele ActiveX-Steuerelemente leider nicht automatisch aktualisiert werden, veralten diese mit der Veröffentlichung neuer Versionen. ActiveX-Steuerelemente sollten unbedingt auf dem neuesten Stand gehalten werden. Böswillige oder gekaperte Webseiten nutzen veraltete ActiveX-Steuerelemente mit Sicherheitslücken, um Informationen abzugreifen, gefährliche Software zu installieren oder einer anderen Person die Remotesteuerung Ihres PCs zu ermöglichen.

Laut dem aktuellen Microsoft Security Intelligence Report zielten 84,6 % bis 98,5 % der im Jahr 2013 jeden Monat durch das Exploit-Kit erkannten Exploits auf Java. Diese Sicherheitslücken wurden in aktuellen Versionen zwar behoben, einige Benutzer wissen jedoch nicht, wie sie ein Upgrade durchführen. Diese Situation soll bei ActiveX-Steuerelementen vermieden werden. Daher steht am 12. August 2014 ein Update für Internet Explorer mit einer neuen Sicherheitsfunktion zum Blockieren veralteter ActiveX-Steuerelemente zur Verfügung.

Beim Blockieren veralteter ActiveX-Steuerelemente haben Sie folgende Möglichkeiten:

• Lassen Sie sich von Internet Explorer informieren, wenn Webseiteninhalte ermittelt und blockiert werden, die häufig verwendete, aber veraltete ActiveX-Steuerelemente laden.
• Sie können weiterhin auf andere Bereiche der Webseite zugreifen, die nicht durch die veralteten Steuerelemente betroffen sind.
• Sie können veraltete Steuerelemente aktualisieren, damit diese auf dem neuesten Stand sind und sicher genutzt werden.
• Sie können die von Ihrer Organisation verwendeten ActiveX-Steuerelemente auflisten.

Wir möchten Sie über das in der nächsten Woche anstehende Update informieren und Ihre Möglichkeiten erläutern. Wir empfehlen allen Endbenutzern, auf die neueste Version zu aktualisieren, sobald die Benachrichtigungsleiste angezeigt wird. Als IT-Experte können Sie selbst entscheiden, wie Sie diese Funktion implementieren.

Unterstützte Konfigurationen

Das Blockieren veralteter ActiveX-Steuerelemente funktioniert mit:

• Internet Explorer 8 bis Internet Explorer 11 unter Windows 7 SP1 und höher
• Internet Explorer 8 bis Internet Explorer 11 unter Windows Server 2008 R2 SP1 und höher
• Sämtlichen Sicherheitszonen (z. B. die Internetzone), jedoch nicht die Zonen „Lokales Intranet“ oder „Vertrauenswürdige Sites“

Diese Funktion weist Sie nicht auf ActiveX-Steuerelemente in den Zonen „Lokales Intranet“ oder „Vertrauenswürdige Sites“ hin und blockiert diese auch nicht.

Wie sieht die Benachrichtigung über das Blockieren veralteter ActiveX-Steuerelemente aus?

Beachten Sie, dass diese Funktion den Benutzer standardmäßig warnt. Sie können die Steuerelemente aktualisieren oder die Warnung ignorieren. Wenn Internet Explorer ein veraltetes ActiveX-Steuerelement blockiert, wird abhängig von der ausgeführten Version von Internet Explorer eine der folgenden Benachrichtigungsleisten angezeigt:

Internet Explorer 9 bis Internet Explorer 11

Internet Explorer 8

Wenn Sie bei dieser Benachrichtigung über das veraltete ActiveX-Steuerelement auf „Aktualisieren“ klicken, werden Sie zur Website des Steuerelements weitergeleitet. Hier können Sie die neueste Version herunterladen. In einer verwalteten Umgebung kann die Funktion durch den IT-Administrator so konfiguriert werden, dass diese blockiert wird und die Benutzer veraltete ActiveX-Steuerelemente nicht ausführen können.

Die Funktion zum Blockieren veralteter ActiveX-Steuerelemente gibt auch eine Sicherheitswarnung aus, wenn eine Webseite versucht, bestimmte veraltete Apps außerhalb von Internet Explorer zu starten:

Wie entscheidet Internet Explorer, welche ActiveX-Steuerelemente blockiert werden?

Internet Explorer ermittelt mithilfe der von Microsoft gehosteten Datei „versionlist.xml“, ob das Laden eines ActiveX-Steuerelements verhindert werden soll. Diese Datei wird aktualisiert, sobald bekannt ist, dass weitere ActiveX-Steuerelemente veraltet sind, und von Internet Explorer automatisch an den lokalen Speicherort der Datei auf Ihren Computer heruntergeladen. Derzeit kennzeichnen wir ältere Java-Versionen, mit der Zeit werden andere veraltete ActiveX-Steuerelemente in die Liste aufgenommen.

Ab dem 9. September 2014 erhalten Benutzer eine Benachrichtigung, wenn Webseiten versuchen, folgende Versionen von Java ActiveX-Steuerelementen zu laden:

• J2SE 1.4, alle Versionen, die älter sind als Update 43
• J2SE 5.0, alle Versionen, die älter sind als Update 71
• Java SE 6, alle Versionen, die älter sind als Update 81
• Java SE 7, alle Versionen, die älter sind als Update 65
• Java SE 8, alle Versionen, die älter sind als Update 11

Eine vollständige Liste von Microsoft, die alle veralteten ActiveX-Steuerelemente enthält, finden Sie unter Internet Explorer-Versionsliste.

Blockieren veralteter ActiveX-Steuerelemente in verwalteten Umgebungen

Die Funktion zum Blockieren veralteter ActiveX-Steuerelemente ist in den Zonen „Lokales Intranet“ und „Vertrauenswürdige Sites“ deaktiviert. Dadurch wird sichergestellt, dass Intranet-Webseiten und vertrauenswürdige Branchenanwendungen ActiveX-Steuerelemente weiterhin ohne Beeinträchtigung nutzen können. Einige Benutzer wünschen sich jedoch weitere Steuerungsmöglichkeiten für diese Funktion in verwalteten Systemen. IT-Experten möchten möglicherweise das Protokollieren von ActiveX-Steuerelementen aktivieren, das Blockieren erzwingen, das Verwenden veralteter ActiveX-Steuerelemente bei ausgewählten Domänen zulassen oder – dies wird jedoch nicht empfohlen – die Funktion komplett deaktivieren. Einen Leitfaden für die Unternehmensbereitstellung finden Sie im Microsoft Knowledge Base-Artikel 2991000.

Internet Explorer enthält vier neue Gruppenrichtlinieneinstellungen für die Funktion zum Blockieren veralteter ActiveX-Steuerelemente.

• In der Protokollierung werden zulässige bzw. zur Warnung und Blockierung gekennzeichnete ActiveX-Steuerelemente mit entsprechender Erläuterung aufgeführt. Durch das Erstellen einer Bestandsaufnahme von ActiveX-Steuerelementen kann außerdem aufgezeigt werden, welche ActiveX-Steuerelemente kompatibel mit dem erweiterten geschützten Modus (EGM) sind, eine Sicherheitsfunktion von Internet Explorer 11, die zusätzlichen Schutz vor Browser-Exploits bietet. Da jedoch nicht alle ActiveX-Steuerelemente EGM-kompatibel sind, unterstützt Sie diese Funktion bei der Bereitstellung der Blockierung veralteter ActiveX-Steuerelemente und der EGM-Aktivierung in Ihrem Unternehmen. Die Gruppenrichtlinie zum Aktivieren der Protokollierung von ActiveX-Steuerelementen in Internet Explorer kann einzeln oder zusammen mit den anderen drei Richtlinien verwendet werden.
• Die erzwungene Blockierung hindert Benutzer daran, die Warnung bezüglich veralteter ActiveX-Steuerelemente zu ignorieren. Die Schaltfläche „Dieses Mal ausführen“ wird nicht angezeigt (Gruppenrichtlinie zum Entfernen der Schaltfläche „Dieses Mal ausführen“ für veraltete ActiveX-Steuerelemente in Internet Explorer).
• Ausgewählte Domänen können festgelegt werden, damit Internet Explorer veraltete ActiveX-Steuerelemente bei diesen nicht blockiert bzw. keine Warnung ausgibt. Die Gruppenrichtlinie zum Deaktivieren der Blockierung veralteter ActiveX-Steuerelemente von Internet Explorer bei bestimmten Domänen enthält eine Liste mit Top-Level-Domains, Hostnamen oder Dateien.
• Diese Funktion kann mithilfe der Richtlinie zum Deaktivieren der Blockierung veralteter ActiveX-Steuerelemente von Internet Explorer deaktiviert werden. Dies ist hilfreich, wenn die Richtlinie in Kombination mit der Protokollierungsfunktion zur Bewertung von ActiveX-Steuerelementen herangezogen wird. Anschließend sollte die Funktion erneut aktiviert werden. Die Aktivierung der vier Richtlinien ist auch über einen Registrierungsschlüssel möglich – in diesem Fall REG_DWORD „HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Ext\VersionCheckEnabled“ mit einem Wert von Null.

Die komplette technische Dokumentation finden Sie hier. Sie können die aktualisierten administrativen Vorlagen für Internet Explorer mit den neuen Einstellungen auch über die Seite Administrative Templates for Internet Explorer herunterladen.

Stets die aktuelle Internet Explorer-Version

Viele Organisationen sind weiterhin auf ActiveX-Steuerelemente angewiesen. Veraltete ActiveX-Steuerelemente stellen jedoch ein Sicherheitsrisiko dar. Da Microsoft Benutzer unterstützt, auf dem neuesten Stand zu bleiben, und IT-Administratoren die Möglichkeit bietet, ActiveX-Steuerelemente auch im erweiterten geschützten Modus besser zu verwalten, erhöht Microsoft die Onlinesicherheit. Wir halten unser Versprechen, Benutzern Internet Explorer sicherer und zuverlässiger zu machen.

Wir möchten abschließend dem Java-Entwicklungsteam unseren Dank für die Zusammenarbeit bei der Bereitstellung dieser Funktion aussprechen. Diese Partnerschaft zeigt, dass Java und IE das gleiche Ziel verfolgen: mehr Sicherheit für die Benutzer dank stets aktueller Versionen.

Nachtrag – 10.08.2014

Wir möchten auf einige Fragen zu diesem Update eingehen und noch eine Ankündigung machen.

Ausgehend von Ihrem Feedback haben wir entschieden, das Blockieren veralteter ActiveX-Steuerelemente um 30 Tage zu verschieben. Benutzer können mithilfe der neuen Protokollierungsfunktion ActiveX-Steuerelemente in ihrer Umgebung prüfen und Gruppenrichtlinien zum Erzwingen der Blockierung, zum Deaktivieren der Blockierung von ActiveX-Steuerelementen für bestimmte Domänen oder zum Deaktivieren der kompletten Funktion je nach Bedarf bereitstellen. Die Funktion und die zugehörigen Gruppenrichtlinien sind auch am 12. August noch verfügbar, veraltete ActiveX-Steuerelemente werden jedoch nicht vor Dienstag, den 9. September blockiert. Microsoft arbeitet weiterhin an der Erhöhung der Browsersicherheit. Wir empfehlen allen Benutzern eine Aktualisierung auf die neueste Version von Internet Explorer und die Installation von Updates.

Im Folgenden finden Sie Antworten auf häufig gestellte Fragen zu diesem Update.

Häufig gestellte Fragen

Welche veralteten ActiveX-Steuerelemente sind von diesem Update betroffen?

Wenn die Funktion im August veröffentlicht wird, sind keine ActiveX-Steuerelemente betroffen. Im September sind nur veraltete Oracle Java ActiveX-Steuerelemente betroffen. Alle anderen ActiveX-Steuerelemente funktionieren wie gehabt.

Sind Anwendungen betroffen, die veraltete Java-Versionen außerhalb von Internet Explorer verwenden?

Nein. Der Benutzer erhält nur eine Eingabeaufforderung, wenn eine veraltete Java-Version ein ActiveX-Steuerelement in Internet Explorer geladen hat.

Gilt dieses Update für Internet Explorer auf Servern und Client-SKUs?

Ja.

Ist diese Funktion Bestandteil des kumulativen Updates vom August oder wird es als separater Hotfix veröffentlicht?

Diese Funktion ist Bestandteil des kumulativen Sicherheitsupdates für Internet Explorer vom August. Veraltete ActiveX-Steuerelemente werden jedoch in den folgenden 30 Tagen nicht blockiert, damit Benutzer Zeit zum Testen und Anpassen ihrer Umgebungen erhalten.

Bietet diese Funktion Schutz vor Angriffen auf veraltete Java-Steuerelemente?

Ja. Durch die Installation der aktuellen Version von Java Runtime wird die Sicherheit für den Benutzer erheblich verbessert. Weitere Informationen über bestimmte CVEs werden im Microsoft-Sicherheitsblog „Keeping Oracle Java updated continues to be high security ROI“ sowie im Microsoft Security Intelligence Report besprochen.

Können Endbenutzer die Eingabeaufforderung außer Kraft setzen, wenn für eine vertrauenswürdige Anwendung eine veraltete Java-Version erforderlich ist?

Ja. Benutzer können bei Internetseiten, die veraltete ActiveX-Steuerelemente erfordern, die Option „Dieses Mal ausführen“ auswählen.

In meinen Unternehmen werden Branchenwebsites verwendet, die auf veraltete Java ActiveX-Steuerelemente in der Intranetzone bzw. der Zone „Vertrauenswürdige Sites“ angewiesen sind. Sind diese vom Update betroffen?

Nein. Websites in der Intranetzone bzw. der Zone „Vertrauenswürdige Sites“ werden nach dem Update weiterhin wie gewohnt funktionieren. Intranetwebsites, auf die durch einen vollständig qualifizierten Domänennamen oder eine IP-Adresse zugegriffen wird, zählen zur Internetzone und sind vom Update betroffen. Im folgenden Knowledge Base-Artikel finden Sie eine ausführliche Besprechung und vorgeschlagene Workarounds. Zusätzlich sollten Sie beachten, dass veraltete ActiveX-Steuerelemente in den nächsten 30 Tagen nicht betroffen sind, damit Benutzer Zeit zum Testen und Anpassen ihrer Umgebungen erhalten.

In meinen Unternehmen werden Branchenwebsites verwendet, die auf veraltete ActiveX-Steuerelemente in der Internetzone angewiesen sind. Sind diese vom Update betroffen?

Zunächst sind veraltete Java ActiveX-Steuerelemente nicht betroffen, damit Benutzer Zeit zum Testen und Anpassen ihrer Umgebungen erhalten. Nach dem 9. September erhalten Endbenutzer beim Laden von veralteten Java ActiveX-Steuerelementen eine Eingabeaufforderung (wie in diesem Blogbeitrag bereits beschrieben). Endbenutzer können die Option „Dieses Mal ausführen“ auswählen, um veraltete Java ActiveX-Steuerelemente in zu laden. Nach dem Laden funktionieren die veralteten Java ActiveX-Steuerelemente wie gewohnt.

Kann diese Funktion deaktiviert werden, wenn für mein Unternehmen eine ältere Version von Java Runtime erforderlich ist?

Ja, dafür gibt es verschiedene Optionen. Microsoft stellt aktualisierte administrative Vorlagen für Gruppenrichtlinien in Internet Explorer bereit, in denen vier neue Gruppenrichtlinien zur Steuerung dieser Funktion enthalten sind.* Mithilfe von zwei dieser Gruppenrichtlinien kann diese Funktion domänenweise oder generell deaktiviert werden.

Wenn Sie die Funktion nicht mit den administrativen Vorlagen für Gruppenrichtlinien deaktivieren möchten, stehen hierfür folgende Registrierungsschlüssel zur Verfügung. Diese können über Gruppenrichtlinien festgelegt werden. (Eine ausführliche Beschreibung des Vorgangs finden Sie unter Konfigurieren eines Registrierungselements und hier.) Alle Schlüssel können in HKLM oder HKCU festgelegt werden (HKLM hat Vorrang vor HKCU).

Richtlinie	Registrierungseinstellung
Blockierung veralteter ActiveX-Steuerelemente von Internet Explorer bei bestimmten Domänen deaktivieren	reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Ext\ Domain" /v contoso.com /t REG_SZ /f
Blockierung veralteter ActiveX-Steuerelemente von Internet Explorer deaktivieren	reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Ext" /v VersionCheckEnabled /t REG_DWORD /d 0 /f

Wenn keine der oben aufgeführten Optionen funktioniert, kann die Webseitenadresse, für die ein veraltetes Java ActiveX-Steuerelement erforderlich ist, der Zone „Vertrauenswürdige Sites“ hinzugefügt werden.

Kann diese Funktion ohne Administratorzugriff deaktiviert werden?

Ja. Löschen Sie hierfür alle bisher heruntergeladenen Versionen der Datei „versionlist.xml“. Richten Sie IE so ein, dass die XML-Datei nicht mehr aktualisiert wird. Geben Sie hierfür folgende Befehle in ein Befehlszeilenfenster ein:

1.  reg add "HKCU\Software\Microsoft\Internet Explorer\VersionManager" /v DownloadVersionList /t REG_DWORD /d 0 /f
   

2.  del “%LOCALAPPDATA%\Microsoft\Internet Explorer\VersionManager\versionlist.xml”
   

Wie erhält, aktualisiert und verwendet Internet Explorer die Datei „versionlist.xml“?

Unterstützte Versionen von Internet Explorer laden die ursprüngliche Version der Datei „versionlist.xml“ innerhalb von 12 Stunden nach dem Installieren des kumulativen Updates für August und nach dem Starten von Internet Explorer herunter. Die Datei „versionlist.xml“ wird hier heruntergeladen und an folgender Stelle gespeichert: %LOCALAPPDATA%\Microsoft\Internet Explorer\VersionManager\versionlist.xml.

Die Funktion wird aktiviert, sobald die Datei heruntergeladen wurde. Internet Explorer beginnt mit dem Blockieren veralteter Java ActiveX-Steuerelemente gemäß den in der Datei „versionlist.xml“ enthaltenen Daten. Internet Explorer sucht regelmäßig nach Updates für diese Datei. Wenn die Datei von Microsoft aktualisiert wird, lädt Internet Explorer eine neue Version dieser Datei herunter. Beachten Sie, dass die Datei veraltete ActiveX-Steuerelemente in den ersten 30 Tagen nicht blockiert, damit Benutzer Zeit zum Testen und Anpassen ihrer Umgebungen erhalten.

Kann ein Unternehmen die URL, zu der ein Benutzer nach dem Klicken auf die Schaltfläche bei der Eingabeaufforderung weitergeleitet wird, deaktivieren oder überschreiben?

Die URL, zu der Benutzer nach dem Klicken auf die Schaltfläche „Aktualisieren“ weitergeleitet werden, ist in der Datei „versionlist.xml“ gespeichert. Diese URL kann in der Datei geändert werden. Künftige Updates an der Datei „versionlist.xml“ machen eine eventuelle Änderung jedoch wieder rückgängig.

Sind veraltete Java-Versionen die einzigen ActiveX-Steuerelemente, die von dieser Funktion ab September blockiert werden?

Im September werden nur veraltete Oracle Java ActiveX-Steuerelemente von dieser Funktion blockiert. Internet Explorer blockiert eventuell auch weitere, häufig verwendete, jedoch veraltete ActiveX-Steuerelemente in künftigen Updates.

*Wo finde ich weitere Dokumentationen über diese Funktion und die Administratorvorlagen für Gruppenrichtlinien?

Weitere TechNet-Dokumentationen und die administrativen Vorlagen für Gruppenrichtlinien stehen ab dem 12.8. über TechNet und im Download Center zur Verfügung.

– Fred Pullen, Senior Product Manager, Internet Explorer

– Jasika Bawa, Program Manager, Security