Sicherheitslücke in Internet Explorer 6 & 7 gefunden

Software Der Sicherheitsspezialist Michal Zalewski hat gestern einen ausführlichen Bericht darüber ins Internet gestellt, wie der Internet Explorer von Microsoft durch einfache HTML-Befehle zum Absturz gebracht werden kann und somit optimale Angriffsfläche ... mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
...und genau deshalb ..Firefox...was war IE eigentlich noch??? lol
 
@berserker: ... einfach abwarten bis die nächste Firefox-Sicherheitslücke entdeckt wird.  :-)
 
@swissboy: Und dann? Zusehen wie sie gefixt wird? Ich darf dich informieren dass noch mindestens 23 Lücken beim IE6 _ungefixt sind? Diese noch nicht mit eingeschlossen.
 
@berserker: Ein nicht aktueller Firefox bietet selbst genügend Angriffsflächen.
 
@swissboy: MS hat aber insgesamt mehr Zeit um den IE6 sicher zu machen. 2 Jahre oder noch länger? Mozilla hatte diese Zeit nicht und deshalb findet man auch dort noch evtl Sicherheitslücken.
 
@CologneBoy1989: Das hat mit Zeit nicht viel zu tun, es werden bei jedem Browser immer wieder neue Sicherheitlücken gefunden werden, sie warten nur darauf entdeckt zu werden. Das ist leider so sicher wie das Amen in der Kirche.
 
@CologneBoy1989: der Vergleich hinkt, Fehler sind erst Fehler wenn man sie gefunden hat , das man beim IE intensiver sucht (um diese fehler auch bösartigerweise auszunutzen) dürfte klar sein.
 
@swissboy: Thema Zeit: Microsoft MCIWNDX.OCX ActiveX Plugin Buffer Overflow :: Unpatched :: 2003-08-14 :: Criticality - Highly ... Fragen? Oder sind 31 Monate für eine Hochkritische Lücke noch im Rahmen der Tolerenz? Nach deiner Auffassung?
 
@berserker: Ich benutze den IE7(7.0.5296.0). Und bei mir ist der Fehler nicht aufgetreten!!!
 
@Chuck: MCIWNDX.OCX- This plugin is part of Visual Studio version 6. das activeX gibts nicht im Windows , was willst du uns damit sagen ?
 
@voyager: http://www.scip.ch/cgi-bin/smss/showadv.pl?id=241
 
@balu2004: voyager hat Recht, ich habe auch keine MCIWNDX.OCX auf meiner gesamten Windows XP Partition gefunden.
 
@swissboy: Das ist aber eine ganz bööööse Lücke, fix das mal schnell :-)
 
@swissboy: stimmt wurde mit VS ausgeliefert und wenn jemand mit diesem Active X Plugin Programmiert hat, muß er wohl auch diese mit ausliefern.. wäre mal interessant womit die OCX außer VS mit ausgelifert wird (MCIWNDX.OCX is an ActiveX control shipped with Microsoft Visual Studio
(VS) to support multimedia programming. The control contains a buffer
overflow vulnerability in the "Filename" property: this property is used
to specify the .mci file to load. The control originally shipped with
Visual Studio 5.0 and is signed by Microsoft. It has never been updated
or patched in VS 6.0 but is still installed by default and registered
with a CLSID. )
 
Wen juckts? Firefox und Opera rulen!
 
@dEv!L: Steich Firefox! Opera ist das einzig Wahre!
 
@dEv!L: Eben! Nutze Opera schon seit Jahren und bin voll zufrieden!
 
jungs, hört auf, ich nutze alle 3, und alle haben so ihre macken... es gibt keinen perfekten Browser (und wird wahrscheinlich auch nie geben). Man muss damit leben, oder halt den Internet-Stecker ziehen :)
 
@dEv!L: Komm aus deiner Pubertät raus! Alle drei Browser sind nicht perfekt. Sie können nur für einen User die bessere Wahl sein, mehr nicht. Lücken und Fehler haben die alle und deshalb hör mit dem Flame vs. MS / IE auf!
 
da sieht man mal wieder, wie viele bugs der ie7 bzw. der 6er noch mit sich herumschleppt! warum fängt ms nicht wieder bei 0 an, und entwickelt einen browser von grund auf, anstatt an den, schon als unsicher eingestuften ie6 und 7 herumzupfuschen?
 
@DiNozzo: Jeder Browser "schleppt Sicherheitslücken mit sich rum", sie warten nur darauf entdeckt zu werden. Auch eine komplette Neuentwicklung würde daran prinzipiell nichts ändern.
 
@DiNozzo: alle nase lang werden bei firefox auch welche gefunden warum fangen die nicht bei null an?ich nutze ale drei browser je nach bedarf.und diese löcher betrifft meist sowas was eh kein mensch nutzt.
 
@swissboy & rotti1970: nur, schleppt der ie schon seit beginn sicherheitslücken, die bis heute noch nicht gefixt wurden, mit sich rum! ein neubeginn würde dem ie sicherlich nicht schaden, ...
 
UI IE7 ist eine BETA, na sicher sind noch Bugs drin! FF hat sicher auch einige Löcher.
Mein Gott, ist doch egal. Abwarten. Das wird schon.
 
Warum sinn da denn noch so viele bekannte Lücken drin, die man auch schon zu IE6- und gar IE5-Zeiten kannte?
 
@Rika: weil genau das passiert was viele schon vorher gewusst haben: der IE6 wird neu tapeziert und dem DAU als ach so toll neuer IE7 präsentiert. Hätte man "unter der Haube" großartig etwas gemacht, hätte man wohl kaum absichtlich alte Fehler übenommen.
 
irgendwie kann ich den sinn der News nicht enddecken, da wird code-müll dazu verwendet den webbrowswer zum absturz zu bewegen ? übrigens beim Maxthon funktioniert der absturz nicht. p.s. das der IE7 bei Web-Attacken abstürzt ist nichts neues, das hatte ich schon bei meinen Vistatests rausgefunden. Allerdings dürfte dort ein code-einschleussen ins System weniger bis garnicht erfolgreich sein .
 
@voyager: Es kommt nicht auf den Codemüll an sondern auf die Tatsache dass bei einer gewissen Menge Müll der IE dann in Bereiche schreiben will wo er nicht schreiben darf und genau dort plaziert kann schadhafter Code an den Einstellungen des IE vorbei arbeiten und jeglcihes Sicherheitskonzept aushebeln.
 
@Chuck: solche fehler machen wohl viele programme , das dürfte kein microsoftspezifisches problem sein.
 
@voyager: Nein, das ist leider Gottes ein recht häufiges Problem in der Softwareentwicklung und die Behebung bzw die Ursachen sind zumeist identisch... Fehlende Überprüfung von Werten oder fehlende begrenzende Deklaration. Gerade deshalb sollte Ms Erfahrung haben dieses zu beheben und es schnell beheben können.
 
@chuck: fehlende überprüfung von werten, unvorsichtige deklaration sind das problem. @voyager: von wegen. wenn du kein dep oder einfach nur pech hast, ist das ein gewaltiges problem. habe ich auch bei dem letzten patchday geschrieben. xpsp2 war nicht betroffen. tolle info, was ist mit xpsp2 ohne dep? bei ms werden die lücken einfach nur überdeckt anstelle daß sie ein wenig disziplin beim entwickeln zeigen. dann gäbe es viel probleme erst garnicht. was nicht bedeutet daß ich keine msprodukte nutze, nur eben nicht da wo es sich ohne probs vermeiden läßt. wer den ie nutzt und sich was einfängt hat es nicht anders verdient, meine meinung.
 
Man muss schon einen starken Glauben haben um den IE ans Netz zu lassen. Mehr kann man dazu echt nicht mehr sagen.
 
@juelich: Komisch, ich gehe seit Jahren mit dem IE an's Netz und ich habe seither noch nie Malware eingefangen.
 
@swissboy: bist du dir da sicher?
 
@swissboy: Es gibt auch Alternativen, wusstes du das noch nicht?
 
@juelich: Ich hatte auch noch nie probleme mit dem ie bezüglich malware oder ähnlichem :D
 
@Kommissar Flex: Ja!  @juelich: Die Alternativen können mich leider nicht überzeugen.
 
@swissboy: Alles klar, du stehst mehr auf veraltete Technik.Also bist eher der Oldtimer-freak.
 
@juelich: Nein, und ausserdem wird ja der IE7 kommen.
 
@all: ich persönlich finde es so: Es gibt nichts besseres auf der welt (browsern gesehn) als diese Firefox Opera und die andern, (bin kein fan von denen ^^) weil die einfach MS bissl unter druck setzten und ich als zufriedener MS kunde der auch IE benutzt, werde einfach auf grund des neuen IE7 doppelt so viel spaß haben am surfen. ff o. und co. haben nur den einen positiven punkt für mich, ms wird durch denen noch besser :-)
 
in jedem browser sind unmengen von sicherheitslücken drin
es kommt aber darauf an wie schnell diese behoben werden
 
bei mir crasht bei der bug test seite garnix. ie7beta2
 
mal sehen wie lange ms braucht, um die lücke zu fixen. zu dumm, dass der patchday schon vorbei ist. in dem punkt (aber nicht nur in dem) hat ms erheblichen nachholbedarf.
 
@Kommissar Flex: Für die WMF-Sicherheitslücke gab es das Update auch ausserhalb der Patch-Days.
 
Toller Typ. :P Find ich Klasse den Hackern Tür und Tor zu öffnen und gleich eine Anleitung beizulegen. Das macht mir den Kollegen irgendwie unsympatisch.
 
@Kammy: Da gebe ich dir vollkommen Recht, das ist nicht die feine Art. Ein Schelm wer dabei Böses denkt!  :-)
 
dadurch ist ms jetzt aber unter druck den fehler zu beseitigen, fehler kann man, wenn sie entdeckt wurden, nunmal nicht totschweigen. man muss sie ausbessern!
 
@LiveWire: ... das ändert nichts daran das dies nicht in Ordnung ist. Michal Zalewski hätte ja Microsoft ein angemessenes Zeitlimit setzen können, wie das eigentlich üblich ist. Er hätte Microsoft ja z.B. sagen können: "Wenn beim nächsten Patch-Day kein Update dazu verfügbar sein wird, werde ich die Datails dazu veröffentlichen." Das wäre absolut in Ordung gewesen, aber halt nicht so medienwirksam. Da kommt doch stark der Verdacht auf das er lediglich möglichst viel Publicity einheimsen will.
 
@Kammy: Stimm ich dir zu :-)
Damals bei Sasser war das doch ganz ähnlich - mit wahnsinnigen Auswirkungen...
 
@rjchio: Wobei hier glaube ich der Patch schon verfügbar war und nur nichtgepatchte Systeme betroffen waren, wobei dies extrem viele waren...
 
@Kammy & swissboy: Die Vergangenheit hat extrem oft gezeigt wie nachlässig MS mit Fehlern umgeht wenn sie 'seriös' nur dem Hersteller gemeldet wurden... da kamen dann Latenzen von mehreren Monaten zustande. Nein, MS ist alleine dran schuld wenn Entwickler solche Wege einschlagen.
 
@swissboy:

Hoer lieber auf von "jeder Browser hat Sicherheitsluecken - blabla" zu reden. Das hast du uns jetzt oft genug erzaehlt und wir wissen es nun.
Es kommt nicht darauf an, wie viel Sicherheitsluecken eine Software / ein Browser hat, sondern in welcher Zeit der Hersteller reagiert. Wie vor mir schon geschrieben, sind vom IE noch immer nicht ~ 12 kritische Luecken geschlossen und das ist Fakt. Im Gegensatz zu Microsoft braucht das Firefox, Mozilla oder $FOO-Team keine 4 Wochen um eine _kritische_ Luecke zu fixen. :)
 
Ach Du liebe Zeit, die Welt geht unter weil ein Browser Lücken hat.
 
@Geli: Quelle?
 
@juelich: http://www.winfuture.de/news,24571.html:
 
@Geli: Wann merkt es Microsoft endlich..... Sie haben Geschlafen..... als der IE6 eine Totale Sicherheitsgefahr darstellte...... Doch als die besseren und sichere Browser wie Firefox auftauchten und MS immer mehr Kunden verlor, war es ja klahr, dass Microsft abschauen musste, aber der neue IE wird genauso im Sicheheitsbereich abkacken, wie die Vorgänger auch zuvor..... Kapiert´s endlich Microsoft.... Die Zeit von IE ist endgültig vorbei.......
 
@Kill Bill: LOL, ich sage nur ca. 80 Prozent weltweiter Marktanteil!
 
@swissboy: Das ist ja doof, dann sind es ja nur 20% Weltuntergang :-)
 
@swissboy: Da hatten sie vor nicht allzu langer Zeit aber noch wesentlich mehr und er wird munter weiter schrumpfen. Und sollte sich nicht noch massiv was an ihm ändern, wird das auch IE7 nicht großartig bremsen können.
 
@Geli: 20% ^^, phew ich geh net mit unter!
 
@swissboy: *lol* 11 Millionen BILD-Leser __> also eine seriöse Zeitung?
 
@swissboy:

Nur weil der IE deiner Meinung nach einen Marktanteil von ganzen 80% hat, bedeuted das noch lange _nicht_, dass das ein guter Browser ist.
 
@marcelcedric: Benutze doch bitte der Übersicht zuliebe die Antwortfunktion (blauer Pfeil).
 
@marcelcedric: Ah, es ist was wares dran schon klar, aber jemand der noch nicht mal alle funktionen ausnutzt bzw. kennt die ein Browser oder eine Seite die diese option zur verfügung stellt hat (blauer antwort pfeil) da werden deine argumente irgendwie schwach wirkend. xD
 
Ich kenne einen anderen Browser, der sich öfters aufhängt, und dann mit 500MB+ im Speicher hängt.
 
@species: Da kenne ich nicht nur den Browser, der solche Probleme verursacht, sondern auch Aufsätze für andere Browser, die sich bei mir gerne mal aufhängen...
 
Auch wenn ich den IE nicht mag - mein 7er crashed nicht!
 
habs getestet: beim ersten Aufruf hat nichts gecrasht, als ich jedoch auf neuladen (F5) gedrückt habe, kam eine Meldung, dass eine zugriffsverletzung im Speicher aufgetreten ist. ... und dann verließen sie ihn. :) blöd, dass dann auch der explorer wegcrasht. der wurde aber zum glück wieder neu geladen
 
@all: Wieder mal ein sinnloses Browserflaming, ist es immer so eure Art Produkte von MS in Vergleich zu stellen? Gefällt euch MS nicht, nehmt *NIX mit FF und bleibt dabei und freut euch einen Ast ab! Und nun der Spruch der immer kommt "Jede Software hat Lücken", tja Leute wenn Firefox an Markanteil immer mehr und mehr gewinnt, wie IE einst mal, dann will ich nicht wissen wie viel Lücken dann noch auftauchen werden, denn dann wirds in Visier von Cracker genommen, so wie jetzt der IE, weil sie somit eine größere Angriffsfläche (80%) haben. Klar! Ein weiterer Aspekt warum das fixen der Lücken bei FF so schnell geht, ist woll das FF OpenSource ist. Natürlich schlammpt MS bei fixen! Mein Wahl bleibt aber trotzdem beim IE (schnellste RenderingEngine), und die Leute die hier meinen, es lohnt sich mehr denn Browser von Grund auf zu erneuern, naja die sollen mal über die Konseqeunzen dadurch nachdenken.
 
@h3r0in: So ist es, man predigt es aber vergebens...es ist schon zu oft angemerkt worden und wird logo von der Hardcorefraktion nicht bedacht. Im übrigen...wer Lücken entdeckt darf sie behalten :-) Mich juckt es jedenfalls nicht...es läuft mit dem IE...null Probleme seit Jahren. Naja, wer weiß was andere so veranstalten. Im übrigen gilt...jedem was gefällt.
 
@h3r0in + Geli: Jop, seh ich genauso... Bin auch glücklicher IE Nutzer :)
 
@h3r0in + die anderen: schließ mich an, IE ist für mich der Browser. Aber ich gebe noch Begründungen: 1. Er ist vorinstalliert, also kein aufwand. 2. Er hat alle funktionen die ich brauche. 3. Wenn die anderen Bs besser sind muss mann umsteigen und sich daran gewöhnen. 4. IE7 kommt auch bald (ist einfacher, sicherr, funktionsreicher {ich brauch von den allen funktionen nur TAb B.}) 5. Fast alle seiten sind auf IE optimiert und jeder kennt IE 80% oder wie viele es auch sind, da ist es einfach einfacher wenn jeder das gleiche hat, probleme zu lösen FALLS es welche gibt. Ich weiß nicht warum man sich so leidenschaftlich in dieses Thema versetzen soll um soviele sachen zu argumentieren obwohl auch dies nicht jeder gut kann. Egal ich habe meinen senf abgegeben. MfG TX
 
@h3r0in: Du hast nichts verstanden ...
 
@marcelcedric: ... du die Antwortfunktion (blauer Pfeil) ja auch nicht.
 
Bei mir im IE7 is auch alles OK... http://i1.tinypic.com/rmimw4.jpg
 
Der Browser ist schrottreif. Seit Jahren hinken sie hinterher, selbst Microsoft gesteht, dass sein hauseigener Browser nicht mehr den modernen Ansprüchen entspricht und verspricht mit der version 7 Besserung. Nur leider ist auch das wieder nur holes Geschwätz aus der Presseecke von Microsoft. Tests beweisen, dass Microsoft nichts neues zu bieten hat. Wer noch ein wenig Verstand hat, sollte den IE nicht mehr ans Netz lassen. Und die viel zitierten 80 Prozent Marktanteile sind sowieso Augenwischerei, schliesslich ist der IE bei jeder Windowsversion on Bord. Also "lol".
 
@sesamstrassentier: Volle Zustimmung!!!
 
Ach leute!!!! NOBODY IS PERFEKT =)) *gg*
 
Also ich nutze ebenfalls den Firefoxbrowser und bin der Meinung das die Vergangenheit immer wieder gezeigt hat, dass Sicherheitslücken schneller geschlossen werden.

Zum IE:

Viele User kennen sich mit den diversen Einstellungsmöglichkeiten des IE doch gar nicht aus.
Bei vielen ist der Browser so eingestellt das er weit offen steht und alles nicht gepatchte kann auf den rechner dringen.

Bsp. Active Scripting.......wieviele haben da immer noch den hacken bei AKTIVIERT???????
Kommentar abgeben Netiquette beachten!

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles