Internet Explorer: Zwanzig Lücken in zwanzig Tagen

Software Der Entwickler H. D. Moore hatte angekündigt, den Juli zum "Month of Browser Bugs" (MoBB) zu machen. Er wollte sich den Internet Explorer vornehmen und jeden Tag eine neue Schwachstelle entdecken. Bis jetzt hat er dieses Ziel auch erreicht. mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
das microsoft ihn hasst, kann ich verstehen. auch müsste er von allen anwendern gehasst werden. sein vorgehen zeugt von extremer unprofessionalität.
 
@troll_hunter: m$ hat doch schon häufig in der vergangeheit bewiesen, das sie teilweise keine patches rausbringen, obwohl sie sicherheitslücken kennen. das ist zwar eine drastische methhode, aber sie bewirkt wenigstens was. und wer IE benutzt ist dann selber schuld
 
@Maniac-X : das ist keine drastische methode. wenn ich eine firma hätte und etwas passieren würde, was sich auf seinen blog-eintrag zurückführen lassen könnte, ich würde ihn in den usa den ars... wegklagen. was er macht ist vorsatz und beihilfe zur computersabotage. $ damit du mich nicht falsch verstehst, ich finde es gut, dass er lücken sucht und auch dem veröffentlichen steht nichts im weg, nur sollte er mit der veröffentlichung etwas warten. mail an microsoft und diese mail auszugsweise auch im blog wiedergeben. darin ankündigen, die lücke in 30 tagen zu veröffentlichen. dann hat ms 30 tage zeit (genug druck) und die user sind noch nicht von exploits betroffen. aber gleich zu veröffentlichen - kopfschüttel.
 
@Maniac-X: absolut deiner Meinung... M$ brauchts einfach drastisch...sonst tun die nie was
 
ROFL. Natürlich, das ist die Kragenweite von MS... Einfach alle verklagen die die Bugs veröffentlichen... Hauptsache wieder mal nicht am Problem selbst gearbeitet....
 
@troll_hunter: Eben genau weil dein Vorschlag, der unter dem Namen "Resposible Disclosure" bekannt ist, bei Microsoft sowas von versagt hat, macht er jetzt Full Disclosure.
 
@troll_hunter: Er hat viele Lüclen bereits im März an Microsoft gemeldet, das sind mitlerweile schon weit mehr als 30 Tage...
 
@Rika, overflow : ok, lücken, die an ms gesendet wurden und älter als 30 tage sind, kann er dann von mir aus posten. aber was er hier macht, sind ja wohl neue lücken. und nur weil seine übereinkunft mit ms nicht gefruchtet hat (leider), braucht er nicht wie ein schmollendes kind jetzt die sicherheit der unwissendereren nutzer aufs spiel setzten in dem er jetzt erst recht veröffentlicht. sorry, ich bleibe dabei - unprofessionell. mir würde es mein gewissen schon verbieten, so etwas zu tun. auch wenn ms nicht reagiert, die schamfrist von 30 tagen würde ich ihnen nach zugang meiner mail trotz allem geben.
 
@troll_hunter: richtig. wenn es neue Lücken sind und er sie nicht erst MS sendet, sondern gleich im Blog macht, sodass Hacker jetzt "dank der publicity" angucken und somit tolle Viren machen können und der normaluser(der von allem keine Ahnugn hat und einfach nur surfen will und nicht erklärt bekommt, dass FF sicherer ist :) ) kriegt alles ab ^^
also lasst uns nach FF lücken suchen und gleich den Hackern posten :P *ironie*
 
@troll_hunter: Naja, wie gesagt, die meisten Lücken die er im Blog gepostet hat, sind schon im März an MS gegangen. Wie würdest du dich denn verhalten mit den anderen Lücken? Auf ein Wunder hoffen, das MS sich dann doch mal bemüht auf diese einzugehen?
@StefanB20: Hacker verbreiten keine Viren, du meinst Cracker. Und ich glaube die werden nicht unbedingt auf einen Blog mit Sicherheitslücken zurückgreifen, das passt eher zu den Script-Kiddies...
 
@troll_hunter: Was willst Du denn machen? Als Zuhälter (von Informationen) das ganze Internet zuhalten? Viel Spaß, aber das ist wohl ziemlich aussichtslos. (Da gibts noch ganz andere Seiten .-) Die freie Entscheidung welches OS verwendet wird, liegt ja beim Benutzer. Wenn es ein extrem unsicheres System ist, das ständig von Viren, Trojanern, Würmern, Adware, PowerPoint "Email", WMF "Werbung" usw.heimgesucht wird. Ist die falsche OS Entscheidung gefallen, (Anfängerfehler) war dann halt extrem unprofessionell. Gerne wird dann durch konsequente Benutzung der großen Viren, Trojanern und Adware Sammelvorrichtung namens "Internet Explorer" der Schaden ausgebaut und der Rest an Schadsoftware mit dem Hilfsprogramm "Outlook" gesammelt und weiterverteilt. Die Augen zuhalten nutzt da gar nichts, Microsoft Windows, Internet Explorer und Outlook berherschen die Kunst der Schadsoftware selbstständig aufsammeln, installieren und weiterverteilen auch mit geschlossenen Augen, vollautomatisch! Gruß, Fusselbär
 
@troll_hunter: entweder habe ich deine antwort icht verstanden od du hast meinen post nicht verstanden. beides passt nicht so recht zueinander.
 
also ich finds gut. Darduch kann Microsoft die Lüken verbessern.So wird der Browser sicherer.
 
@quoc68: damit das besser klappt sollte er die entdeckten schwachstellen aber bei microsoft melden und nicht in seinem blog veröffentlichen
 
@quoc68: Lücken suchen ist gut. Details zu veröffentlichen, ohne dem Hersteller Zeit zu geben, die Lücken zu schließen, zeigt, dass es Moore nur um Publicity geht.
 
@S.I.C. & TiKu: Ihr seht das alle falsch... Der Junge hatte Microsoft schon seit Monaten auf die bestehenden Lücken des IE hingewiesen. Nachdem MS aber nicht darauf regiert hatte und ihm gegenüber selbst auch nicht, hat er sich sich zur Aufgabe gemacht, die Lücken zu veröffentlichen um Druck auf MS auszuüben.
Ihr könnt froh sein das es dies tut, sonst würde MS nicht reagieren müssen und die Lücken noch lange verschleiern. Ürigens werden noch 11 weitere folgen.
Er deckt wenigstens mal die Schlampereinen mit dem IE auf.
 
@großer: *zustimm* in redmond spielt man in dieser hinsicht sonst mikado. wer sich bewegt, der ist ab.
 
@Großer: jo na wenn das so is...
 
@Großer: Wie soll er MS vor Monaten schon informiert haben, wenn er die Lücken erst diesen Monat entdeckt hat?
 
@StH2003: Diese sind inzwischen wieder hinzugekommen.
 
@Großer: Also sind es neuentdeckte Lücken und somit trifft meine Kritik doch zu.
 
@TiKu: Nicht alle, die Schwerwiegensten sind bereits alle im März an MS gegangen...
 
Klasse.. warum kann der Idiot die sachen nicht direkt an Microsoft schicken..stattdessen ermöglicht er es, hackern neues futter zu geben.

Bei Firefox werden die bugs gleich an mozilla gesendet..
 
@zecher: siehe 02 re3
 
boah hat er doch
 
Wobei man sagen muss, dass nicht alle 20 bugs vom internet explorer sind. Einer ist von Safari, einer vom Konqueror, und einer ist vom Firefox, wobei Moore selbst zugibt, dass der Firefox bug schon länger mit der Version 1.5.0.3 gefixt wurde (aktuell ist dzt, 1.5.0.4 und ab Monatsende 1.5.0.5).
 
@Winfuture: Hmm genauso ungenau recherchiert wie die Konkurenz!! Traurig
Es sind 17 Lücken für den IE der Rest ist für FF, Safari usw.
Demnächst bitte Komplett lesen.
 
@imr3: Wobei die gefundene Firefox Schwachstelle/Lücke nicht einmal aktuell ist, sondern schon seit März gefixt ist. Meiner Meinung zählt sie daher nicht.
 
@imr3: Na und? Selbst 17 zu 3 tendiert nicht in Richtung "Unentschieden"
 
@imr3: *zustimm* Was ein Bild-Zeitungs Niveau hier... Schade!
 
Eine absolute korrekte Vorgehensweise. Ohne Druck macht Microsoft nämlich keinen Finger krum. Nicht Jammern, sondern Bedanken und ran an die Arbeit.
 
@sesamstrassentier: Genau, dafür ein (+)
 
Wieviel Sicherheitslücken kann denn eigentlich der IE noch haben ?
 
@Yusuf:Mehr Lücken als ein schweizer Käse bestimmt...
 
@Großer: Ich bin schon ganz gespannt, wie ein Schweizer Käselöcher definiert :-)
 
@Schließmuskel: fragen wir dochmal swissboy... :)
 
20 Tage 20 Fehler: klingt wie 7 Tage 7 Köpfe...
 
Der Internet Explorer: ein einziges Sicherheitsloch, aber immer noch das beste Mittel, um sich Viren, Trojaner und Adware zuverlässig und schnell auf das System zu installieren. Echte Viren, Trojaner und Adware Fans würden niemals ohne Internet Explorer Schadsoftware sammeln gehen! *fg* Gruß, Fusselbär
 
@Fusselbär: also ich muss sagen, ich surf ca. 50 % mit IE und 50 % mit FF und beide gefallen mir gut. Hab noch nie nen Virus, Trojaner etc. eingefangen. Aber ich klick auch nicht auf alles und pass ein bisschen auf. Also ich jedenfalls freue mich auf den IE7.
 
@Fusselbär: auch mit ie kann man virenlos leben. brain.exe 2.0 macht das möglich. nur manchmal habe ich das gefühl, brain.exe 2.0 verträgt sich nicht mit hail_firefox.exe 0.99 :)
 
@troll_hunter: Was nützt die Brain.exe, wenn bei vielen die Variable IQ=0 ist?
 
@overflow : iq = 0 => shit happens. also doch den führerschein für den pc? :)
 
@an alle. Microsoft wird schon die Seite unter Beobachtung haben. Auf jedenfall.
 
na klar, will der aufmerksamkeit. aber MS soll und muß richtig unter druck stehen! warum können immer andere sowas, nur die in redmond nicht??? vielleicht wird der typ ja auch bald gekauft und arbeitet für ms, langsam müsstense ja mal fähige leute haben!!!
 
@bla,bla,bla: Ich denke eher man "kauft" ihn damit er die Klappe hält.
 
als ob man mit jeder sicherheitslücke dort gleich nen worm etc innerhalb kurzer zeit anbringen koennte etc. das ist nähmlich genauso komplex wie die suche nach den sicherheitslöchern ,dem typ gehts eh nur um Publicity will sich feiern lassen, bestimmt so ein armer wutz der sonst nicks zu melden hat und nun von allen bestaunt werden will.
 
Dieser Mann braucht ernsthaft ein Hobby oder eine Frau...
 
@de Chueche: und eine große portion verantwortungsbewußtsein. hirn hat er ja, nur setzt er es unkontrolliert ein.
 
@de Chueche: Sein Hobby hat er schon.Siehe Metasploit.
Btw. kennst du ihn das du seine Familienverhältnisse kennst?
 
Mir ist es echt egal. Ich bleibe bei Firefox und das bestätigt meine Meinung nur über den IE
 
also er hat sich jetzt den IE vorgenommen, als nächstest könnte er doch jetzt den FF oder Opera vornehmen? :P
mal gucken, wie viel Lücken er da findet in 20Tagen ^^
 
@StefanB20: ich tippe auf 8 - 10 für opera und 12 - 15 für firefox.
 
@troll_hunter: ich glaube aber das die Bugs bei FF in der nächsten Nightly build gefixt werden. soll heißen : Mozilla fixt schneller als MS
 
@StefanB20: er hat doch schon eine firefox lücke gefunden :).

außerdem gehtes nicht nach anzahl sondern nach schnelligkeit der bugfixes.
 
@djxspeedy: man sollte nur mal klären, warum es beim ie länger dauert. vielleicht weil man bei ms den patch gegen alle möglichen konfigurationen testen muß, da man sonst von großen partnerfirmen ärgert bekommt, wenn der patch nicht läuft (kann ja auch mal geld kosten). während bei firefox nicht gegen alles und jeden getestet wird (sonst würden z.b. nicht bei jeder version die plugins wie die fliegen sterben). nicht falsch verstehen, ich finde die reaktionszeit von microsoft auch zu lange, aber mon sollte immer das umfeld bedenken. btw. hast du dir schon mal einen patch und zertifizierungsprozess bei einem größeren projekt angeschaut oder mitgemacht. dann weisst du, wo wieviel zeit bleibt und was der unterschied zwischen software mit supportvertrag und anderer software ist.
 
Im IE7 funktionieren die allerdings nicht :)
 
Einer der es richtig macht... MS vertrödelt soviele Fehlerberichte und vertuscht gerne vieles... über diesen Wege kann MS nur noch Stellung zu beziehen und handeln. Weiter so.
 
Sorry xylen, aber diese Art Berichterstattung hat Bild-Niveau, bei heise wird schon ein bisschen seriöser darüber berichtet: http://www.heise.de/newsticker/meldung/75710 Ausserdem, viel heisse Luft um fast nichts. *gähn*
 
@swissboy: Und dein Statement ist genauso überflüssig. Jedesmal das gleiche, wenn es um M$ geht und dabei nicht so gut weg kommt, kommt 100%ig irgendein Kommentar von Dir. Bewirb dich bei M$ wenn die Leute hier deine Statements lesen, bekommst sicherlich nen Job bei denen :) Find dich damit ab das M$ und deren Produkte nun mal mehr unter die Lupe genommen werden als andere und es IMMER wieder irgendwas zu bemängeln gibt.
 
@swissboy: Eben, dazu kommt auch noch "17 der Lücken befinden sich in Microsofts Internet Explorer. In Konqueror, Firefox und Safari fand er jeweils eine Schwachstelle."
 
@clickfish: Genau, daher ist der Titel schon mal schlich falsch. Und von diesen 17 Lücken ist bisher eine einzige wirklich "brauchbar". Mit Seriositat hat dies nichts mehr zu tun, dies betrifft in diesem Fall H. D. Moore wie WinFuture, reine Effekthascherei. Traurig aber wahr.
 
@swissboy: Effekthascherei oder Trollfutter :-)
 
Mir wäre lieber er sucht im IE7
 
Der FF Bug ist nicht gefixt! habe die 1.5.0.4 und der Crasht bei der Demonstation. Also lieber erst testen bevor gesagt wird "wurde doch schon längst gefixt"
@overdriverdh21: Musst die Comments lesen da haben die meisten dazugeschrieben obs im IE 7 Crasht oder ned..
 
Meinen Respekt an H. D. Moore , der sich die Arbeit macht. Ich würde dafür keine Zeit haben.
 
IE7 unbeeinflusst. Leute, Upgrade!
Kommentar abgeben Netiquette beachten!

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles