Wir haben Juni, der Month of... was doch gleich... ach ja, 'Month of ActiveX Bug' ist vorbei. Und keiner hat´s bemerkt. So unspektakulär ist noch keine 'Month of...'-Aktion abgelaufen. Woran lag´s? Erstmal war der Veranstalter nach den ersten englischen Advisories wegen Kritiken an seinen Englischkenntnissen beleidigt und hat den Rest der Advisories in seiner Muttersprache Italienisch veröffentlicht. Damit dürfte schon mal ein großer Teil potenzieller Leser ausgeschlossen gewesen sein. Dann war der Inhalt der meisten Advisories mehr als dürftig. Und zu guter Letzt dürften die betroffenen ActiveX-Controls zum Teil einen Verbreitungsgrad zwischen "nicht messbar" und "verschwindend gering" haben. Und ohne die Verdienste des Veranstalters schmälern zu wollen: Wenn das ActiveX-Control abc des Herstellers X eine Schwachstelle enthält, und die nicht gerade in einer sehr Programm-spezifischen Funktion ist, ist die Wahrscheinlichkeit für ähnliche oder identische Schwachstellen in den ActiveX-Controls def und ghi dieses Herstellers extrem hoch. OK, da kann man natürlich dann drei Advisories draus machen – muss man aber nicht unbedingt. Ebenso wenn ein ActiveX-Control mehrere Schwachstellen enthält: Das kann man auf mehrere Advisories aufteilen, aber wozu? Zumindest für mich sah das teilweise sehr nach "Verdünn die Suppe, es kommen Gäste" aus.

Bemerkenswert waren eigentlich nur zwei Sachen: Zum einen wurden die am Anfang des 'Month of ActiveX Bug' gemeldeten Schwachstellen in verschiedenen ActiveX-Controls von Office OCX von mehreren Stellen im Web fälschlich den entsprechenden Microsoft-ActiveX-Controls angedichtet, die damit aber nichts zu tun haben. Zum anderen wurde am 23. Mai eine Schwachstelle in einem ActiveX-Modul von Microsoft Office 2000 'entdeckt', die Microsoft bereits im Januar behoben hatte. Der entsprechende Patch ist auch im Service Pack 3 für Office 2000 enthalten.

Was bleibt? 30 Schwachstellen (wo bleibt eigentlich die für den 31. Mai?) in deutlich weniger ActiveX-Controls sind bekannt und werden hoffentlich irgendwann behoben. Das ist gut. Selbst wenn sich aufgrund der teilweise geringen Verbreitung kaum ein größerer Angriff darüber abspielen wird (die Wurm- und Trojaner-Autoren haben bestimmt genug lohnendere Ziele), ist jede beseitigte Schwachstelle ein Schritt in die richtige Richtung. Und ansonsten... auf zum nächsten 'Month of...', dem

'Month of Search Engines Bugs'
Diesmal geht es um Schwachstellen (meist wohl Cross-Site-Scripting) in verschiedenen Suchmaschinen. Jeden Tag ist eine andere Suchmaschine an der Reihe, und es können durchaus mehrere Schwachstellen darin vorgestellt werden. Das ganze 29 Mal, für den 30. Juni ist eine besondere Überraschung angekündigt. Da bin ich ja mal gespannt.

Bundestrojaner, mal wieder...
So langsam reichts ja mit dem Blödsinn, aber einige Politiker legen eine unheimliche Ausdauer und Kreativität an den Tag, wenn sie sich mal in etwas verrannt haben. Bloß keinen Fehler eingestehen! Aber bevor ich dazu komme, mal etwas anderes: Was würden Sie, liebe Leser, wohl sagen, wenn jemand nachts vor ihrem Bett stehen würde. Einfach mal so, weil das Türschloss nicht besonders gut war und man mal gucken wollte, was Sie denn da so anstellen... Wie jetzt – Empörung, Polizei, sowas ist doch verboten? Aber wieso denn? Sie haben das Haus doch selbst an eine öffentliche Straße gebaut, und wenn das Türschloss dann nichts taugt, haben sie auch kein Recht auf Privatsphäre und jeder, der möchte, kann sich im Haus umsehen! Absurde Argumentation? Finde ich auch. Und jetzt ersetzen wir mal Haus durch Computer, Straßennetz durch Internet und Türschloss durch Schutzmaßnahme. Ändert das was? Eigentlich nicht, oder? Die Idee ist immer noch absurd? Finde ich auch. Einige Politiker aber nicht, denn genau so argumentieren sie: Durch den Anschluss eines Rechners an das Internet gehört er nicht mehr zu Privatsphäre. Das ist die Kurzfassung der Stellungnahme der Landesregierung Nordrhein-Westfalens zur Verfassungsbeschwerde gegen die im neuen Verfassungsschutzgesetz von NRW erlaubte Online-Durchsuchung. Muss man das noch kommentieren?

Carsten Eilers