Neue Sicherheitslücken im Internet Expl. entdeckt

Software Erneut sind im meist genutzen Browser, dem Internet Explorer, neue Sicherheitslücken aufgetaucht. Auf der Sicherheitsmailing-Liste Full Disclosure beschreibt der User Jelmer mit Hilfe von alten und mindestens zwei neuen Sicherheitslücken, wie man ... mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
wenn man javascripte unterbindet passiert also nichts???
 
@silent boebchen: Ich weiß nicht so recht, ob das eine gute Idee ist. Ich bin kein
Coder, aber soweit ich weiß könnte man bei Abschaltung von JavaScript das Surfen im Netz dann eigentlich auch gleich sein lassen.
 
das stimmt schon, meine firewall piept mich ständig an, wenn wieder ein javascript gestartet werden möchten, lasse es nur auf mir bekannten seiten zu.
 
Warum nicht JavaScript (und auch ActiveX) im Internet Explorer grundsätzlich ausschalten - und bei Bedarf mit EINEM Mausklick für eine BESTIMMTE Seite wieder einschalten ? So kann man sich die Seiten, die UNBEDINGT JavaScript verwenden wollen, auch anschauen - ohne JavaScript dauernd aktiviert haben zu müssen. Siehe: www.ccsev.de/Software/IE_Zonenmodell/ie_zonenmodell.html
 
Status Critical: Das Besuchen einer Website reicht also schon. Noch ein Grund
mehr um sich vom IE6 zu verabschieden. Mittlerweile ist es ja anscheinend egal
welchen Alternativ-Browser man nutzt. Es ist immer besser als der IE.
Schade eigentlich...
 
Und noch was: Das Java-PlugIn lieber von Sun, als von Microsoft. Eben weil die MS-Variante bugbehafetet ist. (So, Fehler korrigiert...)
 
Ich hatte vor schon einiger Zeit meine Javainstallation von Microsoft mit der von Sun ersetzt, nachdem diese jedoch 25-75% langsamer lief hab ich das Ganze wieder rückgängig gemacht. Vor allem bei shortnews.de merkte man das im Nachrichtenticker, wenn mehr als 2 Browserfenster mit Ticker offen waren lief das Ding nur noch im Schneckentempo. Gibt es da inzwischen positive Veränderungen ?
 
Antwort auf den Kommentar von Meltdown84: Hä? Seit wann gibts von Sun ein JavaScript-Plugin? Java klar, aber JavaScript?
 
@Lofote: Ich bin mir ehrlich gesagt nicht sicher, was alles zu diesem J2RE von SUN gehört. Mag sein das die ScriptSprache nicht dazugehört. Wie gesagt, ich bin kein
Coder. Aber falls MS seine Finger darin hat, wäre ich vorsichtig bei dieser Komponenten. Zuviele Lücken im Windows-System haben mich vorsichtig gemacht.
:-)
 
Hmm... ich hab mal die Demo ausprobiert, und bei mir erscheint da eine Fehlermeldung im Javascript mit der Nummer 80020101. Das war es dann auch schon, hat sich kein File installiert auf meinem System.
Fehler im Script ?
 
Hab auch die Demo laufen lassen. Bei FireFox funzt es nicht (normal ^^) aber beim IE o. AvantBrowser funzt diese genausowenig. Hab das SP2 drauf.
 
Bei mir funktioniert es genausowenig, hab auch das SP2 drauf - scheiss verdammte Panikmache ganze Zeit!!!
 
Antwort auf den Kommentar von dornadeluxe. panikmache nennst du das?? nur weil es mit SP2 nicht mehr funktioniert?? dann denk mal drüber nach das der IE der meistverwendetste browser derzeit ist... und auch viel von den leuten, die von PC's nicht so viel ahnung haben... wieviele leute verwenden windows XP/2000 ? ... ok, dann nehmen wir einen prozentsatz von realistischen 0,1% an, die SP2 BETA installiert haben von den ganzen leuten... dann wäre es, wenn man nicht egoistisch veranlagt wäre, nur eine panikmache, wenn es lediglich unter SP2 auftauchen würde. aber so ist es eine sicherheitslücken die alle angeht... und die allermeisten haben auch kaum sicherheitspatches installiert... darfst net von dir ausgehen... wäre genauso wenn ich sagen würde: "ich hab firefox drauf, also wieso macht ihr da panik das es im IE ne sicherheitslücke gibt?"... denk auch mal an anderer... egoisten bringens nicht weit. warrior
 
@dornadeluxe: Beim SP2-RC1 funktioniert schon so einiges nicht mehr, was
früher problemlos durchgelassen wurde. Hoffen wir also das in 2 Tagen jetzt
endgültig der SP2-RC2 erscheint. Und das dann auch die lokale deutsche Variante
verfügbar ist, und nicht nur ein englisches Paket.
 
Kaspersky 5 erkennt den exploit wenn Real-Time protection an ist.
Wenn´s allerdings ausgeschalten ist, funktioniert der Angriff auf meinem Nicht-SP2-irgendwas-XP.
 
Antwort auf den Kommentar von netwolf: Stimmt, hat bei mir auch sofort angeschlagen.
 
Wieso neue "Sicherheitslüchen"! Immer diese Aussagen! Die suggerieren doch, dass es im IE Sicherheitslücken gibt - das Programm also "schei**e" ist. Das ist doch garnicht der Fall. Natürlich wird von außen versucht, Sicherheitsmechanismen im Programm zu umgehen. Das kann man bei allen Programmen tun!

Wenn ein Zug entgleist, weil etwas auf den Schienen liegt, ist das doch auch keine Sicherheitslücke im Zug.
 
Surf weiter mit deinem IE!
 
natürlich wäre das ne sicherheitslücke im zug, man kann ihn ja so bauen das er dadurch nicht entgleist, denk mal drüber nach :)
 
@Muntermacher:: Doch das ist eine Sicherheitslücke. Mozilla / bzw. die FireFox - Variante (als Beispiel) kennt diese dauernden Security Alert-Meldungen einfach nicht.

Sicher - auch diese Browser werden Macken haben. - Aber wenn es Überhand nimmt (und das ist beim IE6 für XP der Fall - wie es schon viele andere hier vor mir erzählt haben) - dann hört der Spaß irgendwann auf.

Der IE6 hat maßgeblichen Anteil an dem sicherheitstechnisch schlechten Ruf von XP. Und deswegen verwende ich ihn auch nicht. Es gibt Besseres (das nebenbei noch mehr Funktionen hat, schneller und komfortabler ist). Da hat Microsoft Nachholbedarf. An MS allgemein will ich allerdings nicht herumnörgeln. Ich setze Windows seit Jahren gerne ein - nur der Sicherheitsaspekt lässt einen sauer aufstoßen. Das könnte man allerdings ändern.
 
es gibt nichts perfektes, besseres und schelchteres .... es ist alles auch ne sache der konfiguration und nutzung ......

mir persöhnlich geht das ganze kindergelaber, ehhh der ist besser, nee der ist es.... total aufm sack, hey wenn ihr werbung für nen produkt machen wollt, dann macht was im forum auf, oder lasst es sein, hier geht es um die sicherhietslücke vom IE und nicht um andere konsorten, beim thema bleiben ...... :o) *nachfolgend soll der/die jenige labern was er/sie will, antworten tuhe ich nicht, ist eh sinnlos)
 
ich benutze die java platform von Sun und die Mozilla Suite... und ich habs noch keine sekunde bereut. sicherer + viel mehr (vor allem nützliche) features :]
 
das einzig schockierende für mich dabei ist, das bereits seiten code zum umgehen dieser sicherheitslücke verwenden, bevor MS selber etwas davon bemerkt hat... und bevor überhaupt irgendjemand das öffentlich machen konnte. stellt man sich doch die frage, wie lange es überhaupt schon aktuell ist.... aber genau sowas wird die position auf kurz oder lang für sicherere alternativ browser stärken.
 
@warrior: Ich will gar nicht erst darüber nachdenken, wieviele ausgenütze Sicherheitslücken es noch gibt, von denen wir überhaupt noch nichts gehört haben.
Und damit meine ich nicht nur den IE oder Browser allgemein. Wieviel Standard-Software hat wohl noch gravierende Lücken, die bei geschicktem
Einsatz durch Exploits richtig gefährlich werden könnte. (Stichwort: MediaPlayer, Packer, Editor....) Bring ein präpariertes File an der richtigen Stelle in Umlauf -
und man könnte theoretisch für mächtig Unbill sorgen...
 
schon klar das es noch sehr viel standartsoftware gibt die ebenfalls sehr viele sicherheitslücken beinhaltet.. aber beim browser ist es am einfachsten, da er ständig mit dem internet verbunden ist, und die meisten internet verkehr verursacht.. es gibt zig player die viele verwenden.. zig verschiedene packer... da eine spezielle sicherheitslücke auszunutzen wird mit weit weniger erfolg behaftet sein, wie sicherheitslücken im IE. daher wird meiner meinung nach, der ie sicher noch weiter hauptangriffspunkt nr. 1 bleiben... gut, gibt sicher auch noch sicherheitslücken in mozilla/opera/firefox.. etc.. pp... allerdings ist eine verbreitung über solche a) nicht sonderlich von dem mega erfolg gekrönt, und b) vielleicht auch nicht so gehäuft vorhanden oder so mächtig in ihrer schadenswirkung.. wenn man sich die sicherheitslücken beim ct browsercheck mal anguckt... ist seit einiger zeit bei mozilla kaum was dazugekommen... und bei IE sind richtig krasse sachen dabei.. sollen mehrere mal nachdenken drüber.
 
Also die 'ct-Demp hat mein McAfee VirusScan sofort erkannt und gestoppt. Es geht halt nichts über einen guten Virenscanner.
Aber wiedermal eine Sicherheitslücke...MS sollte nicht bis zum nächsten Patch-Day (den ich sowieso für sehr zweifelhaft halte) warten und so schnell wie möglich ein Update bereitstellen.
 
yoyo, deswegen habe ich aufgehört den IE zu benutzen es ist gefährlich oder einfach nur läastig. Opera und Firefox bieten mir gute und relative Sicherheit beim surfen. Okay klar, Mozilla (bzw. Firefox) und Opera sind natürlich auch nicht komplett sicher aber sicherer. Allein die unpopularität dieser alternativen Browser schützt einem vor risiken im web. Auch wenn sie fehler haben werden sie von keinem durch ein Exploit ausgenutzt, weil ihre anzahl einfach verschwindend gering ist.
 
so verschwindend ist die zahl der mozilla user gar nicht ( dazu zaehlt auch firefox/bird/phoenix ). in diesem monat haben die mozilla browser 12% der hits auf winfuture.de ausgemacht. abgeschlagen liegt opera, wenn man alle versionen zusammenrechnet so bei etwa 1,5% gefolgt vom GoogleBot der immerhin 0,15% unserer hits verursacht hat, hundert kleinen abarten vom internet explorer und toolbars bis zum textbrowser lynx mit 240hits.
 
Antwort auf den Kommentar von mo: Das ist ja wohl kein repräsentativer Überblick über den gesamten Markt. Das auf einer Seite wie winfuture.de relativ viele Mozilla oder Opera Benutzer gehen ist doch klar, weil Besucher dieser Seite sind größtenteils sehr Computerinteressiert und wissen, dass der IE besser nicht benutzt werden sollte. Wenn man allerdings mal auf ne Seite wie bild.de oder sport1.de schauen würde, da wäre der MArktanteil von Mozilla und Opera bestimmt nicht so hoch.
 
ich sage mal so! welche internet software ist zu 100% sicher??!! also ich finde das fast alles die selbe s****** ist!!! mfg
 
es ist moeglich sichere software zu schreiben. schau dir nur openbsd, qmail oder den vsftpd an.
 
@future_cop68: Das ist eine Binsenweisheit. Naturgemäß sind alle Rechner die
im Internet hängen potentiell gefährdet. - Aber trozdem sollte man sich immer
noch nach der besten Alternative umschauen. - Eben, weil soviele User (noch)
den IE in seinen diversen Varianten einsetzen. So gibt es wenigstens keine
absoluten Mono-Kulturen mehr. Der Einsatz solcher Alternativen hemmt auch
die Virenverbreitung. Und das scheint nicht nur an der Monopol-Stellung vom IE zu liegen. Fakt ist das die (quelloffenen !) Browser weniger anfällig für Exploits sind.
Eben weil sie quelloffen sind. Und das ist ein Nachteil den der IE wohl nie wettmachen kann.
 
Antwort auf den Kommentar von mo: Wie sicher Software ist, kann man nie 100% sagen. MS-Produkte sind nun halt mal Massenprodukte und sehr weit verbreitet und haben zusätzlich noch die "Freakgemeinde" gegen sich, aus der nunmal viele Viren, Würmer oder Trojaner kommen. Je mehr Leute eine Software benutzten, desto größer ist die Wahrscheinlichkeit, einen Bug oder eine Sicherheitslücke zufinden.
Es gibt nunmal keine fehlerfreie Software und somit auch keine sichere.
Was man MS aber vorwerfen muss, ist die Art, wie man mit entdeckten Sicherheitslücken umgeht. Solche müssen so schnell es geht geschlossen werden. Da läuft bei denen irgendwas gehörig schief.
 
naja so extrem sehe ich das nicht ^^ mozilla hatte auch das eine oder andere sicherheitsloch... jedoch waren es sehr wenige, sie waren weniger schwerwiegend und wurden auch sofort gefixt. so muss das auch bei ms sein, denn keine software ist perfekt. der IE is halt nur deutlich unsicherer als alles vergleichbare, + das bekannte sicherheitslücken einfach offen gelassen werden.
 
@BluntZ: Meine Meinung. Aber warum hat MS so Probleme mit dem Bugfixing ?
Dort sitzen doch auch gute Programmierer. Tja...
 
Die Sicherheitslücke wäre ja schon seit längerer Zeit geschlossen,. => SP2,
Nur die Verzögerung des SP2 ist da also schuld, das die Lücke noch besteht.
 
Gute Programmierer? @bardelot: Von den 19 bekannten ungeptahcten Sicherheitslücken sind im SP2 immer noch 11 vorhanden, 3 davon lassen sich absolut nicht umgehen...
 
@Rika: Ich weiß ja was Du sagen willst. Als blöd will ich sie noch nicht darstellen -
nur: das lasche Bugfixing sollte man ihnen schon abgewöhnen. Ich versteh es ja
auch nicht, was das Ganze soll. Anscheinend haben sie noch nicht genug Kritik
eingesteckt, oder sind irgendwann in der Vergangenheit immung dagegen geworden.
Tja, da hilft nur Ausweichen auf andere Browser ...
 
Antwort auf den Kommentar von Rika: Gibts im Moment noch eine gute aktuelle Seite, die die Sicherheitslücken auflistet? Die von Larholm früher gibts ja leider nicht mehr in der Form, und die vom De Liu(?) ist das letzte mal im Januar aktualisiert worden.
 
Leider nein. Ich zähle selber.
 
Also, nun muss ich auch mal mein Senf dazu geben. (Wohlgemerkt, ohne eine Diskussion über den besten Browser zu entfachen).
Bloß warum nutzen die meisten User immer noch den IE, obwohl ja nun mittlerweile fast jeder Depp weis, das dad Teil an Sicherheitslücken nur so strotzt, bzw. diese extrem breitgetreten werden. OK &$8211: andere Browser sind nun auch nicht 100% sicher, dies ist theoretisch auch gar nicht zu erreichen da es immer jemanden geben wird der es besser weis, was ja auch gut so ist! Meiner Meinung nach betrifft das wohl ehr die Jenigen, die auf irgendwelchen total schrottigen Warez-Seiten rumdümpeln und sich im Schatten einer Firewall sicher fühlen und irgendwie keine Peilung von dem haben, was überhaupt abgeht. Und mal ernsthaft, wer brauch schon ActiveX (außer einigen Beschxxx Banken).
Gruß, ein seit Opera 3.21 sorgenfreier Win-Nutzer.
 
@malsehn: Kein Browser-War. Stimmt. Aber: es lässt sich ja mittlerweile mit
kühlen Fakten belegen das der IE ein Sicherheitsproblem darstellt. Daran ändern
kann eigentlich nur Microsoft was. Aber die scheinen sich wenig darum zu kümmern...
 
Also ich hab win2k SP4 , IE 6.0 aber bei mir funzt das auch net, meine wmp.exe wurd net überschrieben und passierte 0 ^^
IE rockz halt ! ^^
 
ich nutze firefox und da funktioniert der ganze scheiß von der heise seite nicht ! :))
 
F-Secure hat den schädlichen Code abgefangen und gelöscht.
Riva
 
LOL. 1. Und wie oft hat es vor dem Signaturupdate den Code durchgelassen? 2. Wie schwer ist es, den Code so zu verändern, daß er funktionstüchtig bleibt, aber nicht mehr erkannt wird? 3. Was ist mit den anderen bekannten Exploits, die noch nicht erkannt werden? 4. Was ist, wenn der IE mal einen guten Tag hat und die Seite aus dem RAM-Cache lädt, anstatt sie erst auf die Platte zwischenzuspeichern und dann neuzuladen? Macht der IE manchmal, ist auch technisch erwünscht, macht aber den Scanvorgang zunichte.
 
die Schwachstelle funktioniert unter dem Servicepack2 im WinXP nicht mehr, wie all die anderen "prof of concept" Internet Explorer Schwachstellen auch nicht.
 
Ach ja? http://www.cipher.org.uk/index.php?p=cipher/advisories.cipher
funktioniert jedenfalls noch, genauso wie die anderen benannten Exploit auf dieser Seite sowie auch http://www.fabrice-pascal.de/bugbase/ie6crash2/ und auch der XML Parser Exploit (http://www.safecenter.net/UMBRELLAWEBV4/ie_unknown/index.html). Vielleicht solltest du mal Seiten jenseits von heise.de versuchen...
 
da sei dir mal nett so sicher....Windows Sucks :D
 
Antwort auf den Kommentar von Proxylein: Ausprobieren?!?: http://62.131.86.111/analysis.htm
http://62.131.86.111/security/idiots/repro/installer.htm
http://62.131.86.111/security/idiots/repro/sp0/installer.htm
 
Hmmm also das was beim c't Browsercheck steht ist mir schon vor 2 Monaten passiert "Warnung: Diese Demo überschreibt die Datei:
C:\Programme\Windows Media Player\wmplayer.exe"
Auch der Editor wurde schon überschrieben bei mir! Greetz Martin
 
Auch wenn meine Frau anfangs schwer gemeckert hat, ich hab die ganzen IE Verknüpfungen mit Icons von meiner Kiste entfernt, denn auch wenn Mozilla ab und zu ein paar Lücken hat, der IE ist und bleibt das mieseste löchrigste Stück Software der ganzen IT Branche. Wer den IE benutzt, der sollte sich ein Image seiner Partition anlegen , kurz nach der Installation von Windows und es jeden Tag neu einspielen:-)
 
Das Problem: Wenn "Active Scripting" eingeschaltet ist gibt es beim IE von jeher Sicherheitslücken.

Die Scheinlösung: IE löschen.
Die Halb-Lösung: Active Scripting permanent ausschalten (Manche Sites benötigen Active Scripting).

Die Ideal-Lösung: Active Scripting normalerweise AUS geschaltet lassen und NUR dann einschalten wenn man es braucht.
Das geht über "InternetOptionen" oder einfacher mit einem einzigen Klick auf die Tatse "SSE" im Freeware-Tool.:
http://www.winrobots.de/shtmls/quicksurfer.shtml

 
Ich sag nur OPERA!!!
 
Antwort auf den Kommentar von sarch: Genau in dem wurden jetzt auch erst kürzlich Sicherheitslücken geflickt..
 
Das Gejammer und Gelaber hier ist ja zum Heulen ! Ist denn schon jemand mal definitiv von einer solchen Sicherheitslücke betroffen gewesen ? Und wenn ja, was ist passiert ? Alternativbrowser - ich kenne NICHT EINEN !!! Diese anderen Kinderbrowser, zum Lachen ! Bei dem einen geht das nicht richtig, bei dem Anderen jenes. Am Schärfsten ist der sogenannte " schnellste " Browser der Welt - öffnet mit dem mal die Ebay Seite - 3 mal so lange wie mit dem IE !
 
@knone16: Die einzigen praxistauglichen Alternativen sind meiner Meinung nach
die Mozilla-Teile. Jedenfalls dann wenn Du mehr Komfort haben willst. Bei mehr Sicherheit ist es eigentlich egal was man nimmt - da sind alle besser als der IE6!
Das ist kein Browser, sondern eine verkappte Shell. Und damit brandgefährlich im Netz.
MS könnte das ja ändern. Aber wenn selbst das Bugfixing bei denen nicht mehr vernünftig funktioniert, kann man denen auch nicht mehr helfen. Selbst einige uralte Bugs sind selbst im RC1 vom XP-SP2 nicht behoben worden. Tja, was soll man dazu sagen ? Mal sehen was der RC2 hergibt - angeblich ja morgen öffentlich verfügbar von den MS-Servern...
 
... und wenn er nicht gestorben ist, lädt er die Ebay Seite immer noch !
 
Antwort auf den Kommentar von knone16. Bist ja wieder einer dieser ganz tollen, nur weil der IE manche Seiten um 5% schneller lädt, darf er dafür Lücken wie ein Käse haben. Ach sags doch gleich MS, die brauchen keine patches mehr rausbringen, denn wem ist denn schon mal was passiert etc. Selten so einen dämlichen Kommentar gelesen. Bist du eigentlich schon aus dem Schulalter schon draussen? Wenn ich auch so nen Quatsch höre von wegen es gibt keinen Alternativbrowser, jeder der mal Mozilla Firebird oder Opera benutzt hat kann da nur lachen, in unserer Firma benutzt mehr als die Hälfte nur noch Mozilla bzw Firebird. Wenn bei dir Opera oder Mozilla 3 mal solange wie der IE braucht, dann würde ich mir mal Gedanken drüber machen, ob du evtl in der Lage bist Software richtig zu installieren, ich kann z.B. keine Unterschied feststellen.
 
ich sag nur mozilla mit kontrolierten java-apllet und ruhe im karton
 
WIESO WURDE ICH WIEDER VOM FORUM VERBANNT? WAS HAB' ICH DIESMAL VERBROCHEN?!!!!!!!!!!!!! IHR VERDAMMTEN HURENSÖHNE!
 
Also bei solchen Kommentaren würde ich dazu tendieren deinen Account gleich mal still zu legen,
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles