Erste Sicherheitslücke im Internet Explorer 7 bekannt

Software Der neue Internet Explorer 7 steht noch keine 24 Stunden zum Download bereit und schon wurde die erste Sicherheitslücke entdeckt. Die dänische IT-Sicherheitsfirma Secunia gibt in einem vor kurzem veröffentlichen Sicherheitshinweis an, dass die ... mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Das ging aber schnell...
 
@LordElk: Eine Lücke, die als "less critical" eingestuft wird und seit 6 Monaten bekannt ist, wird am Erscheinungstag des IE7 noch mal in die Schlagzeilen gehieft. Mag sich jeder selber seinen Teil dazu denken...
 
@axx: Seit 6 Monaten bekannt und nichts dagegen gemacht? Was machen die die ganze Zeit, am "Design" rumfummeln?
 
@yikrazuul: Weiß' ich nicht. Ich sag's dir, sobald ich den Job dort habe.
 
@yikrazuul: Laut Secunia gibt es im FF auch noch ungepatchte Less Critical Lücken http://tinyurl.com/y4kypd was machen die nur ? am FF2.0 Design rumbasteln ?
 
@Species: Komisch das bei Lücken im Internet Explorer sofort zu irgendwelchen angeblichen Lücken im Firefox verwießen wird. In News-Artikeln wo es über einen neuen Internet Explorer geht, darf kainer das Wort Firefox erwähnen, aber in Atikeln wo es um Sicherheitslücken geht, wird sofort auf Firefox verwießen. Um es kurz zu machen, was hat der Firefox mit der News zu tun?
 
Genau gelesen sind diese Lücken in Firefox entweder schon seit Monaten gefixt oder sind gar keine Lücken.
 
@overflow: Nun, der Link deswegen, weil eben der FF laut Secunia noch ungefixte Lücken haben soll, wenn es Opera gewesen wäre hätte ich dahin verlinkt. Ausserdem habe ich nicht dich angesprochen, und wollte damit nur zum Ausdruck bringen das das nicht bzw. spät fixen von Less Critical Lücken nicht nur bei MS vorkommt. Ausserdem war diese Lücke schon länger bekannt, und Secunia hat nix besseres zu tun als sie einen Tag nach dem release des IE7 rauszubringen....ist ja hier auch schon öfter festgestellt worden. Sicher ist es nicht schön das der IE7 immernoch alte Lücken hat, aber deswegen immer so ein geseier wie in [o1][re2] oder weiter unten findest du noch jede Menge solcher nervenden dämlichen Posts.
 
@ Species: Wieder mal am Thema vorbei getrollt. Hier gehts um ein gerade fertiges Produkt namens IE7.
 
@sesamstrassentier: Lern lesen, lern richtig interpretieren, hör auf in MS News rumzutrollen, denn ich kann mich nicht entsinnen das es den IE7 auch für Linux gibt.
 
war irgendwie klar ...
 
...dass so unsinnige Kommentare danach kommen!
 
...und war nicht anders zu erwarten. Oder hat sich da jemand falsche Hoffnungen gemacht :-)
 
@nixn: hö? :>
 
@nixn: "war doch klar oder?" soll das vielleicht heißen, bmaans (bin mir aber auch nicht sicher).
 
Ich warte ja immernoch auf die Meldung "Eine Sicherheitsfunktion funktioniert schonmal", aber ich glaube ich werde das wohl nie erleben :-)
 
Ich wette die (Secunia) kannten die Lücke schon länger! Die ham damit nur bis zur IE7 Final gewartet, und Microsoft dumm da steht -.-
 
@fubsle: Was zeigen würde wie sehr der Browser von MS auf Herz und Nieren getestet wurde. Und da die Lücke auch im IE6 ist, zeigt es wieder mal das nur ein "neues Kleid" entworfen wurde und man sich wieder lange Zeit lässt um Lücken zu stopfen. Bei Mozilla ist man da deutlich schneller, da dort die Prioritäten woanders liegen.
 
Es gibt ein Trick womit man den Ie7 auf Deutsch machen kann...(nur so nebenbei)
 
@quoc68: Hat das was mit einer vorherigen RC1-Installation zu tun?
 
versuchs doch mal mit warten bis german release download möglich is ?
 
@quoc68: Also ich habe davon auch schon gehört. Aber wenn ich die englische Final über den deutschen RC1 installiere, habe ich keinen deutschen Final, sondern einen Englischen. Was bitte macht ihr anders?
 
@quoc68: Applaus....
 
@LordElk genau^^
 
Ich verstehe das Genöle nicht, eine Software die in solch breiter Maße genutzt wird kann einfach nicht lückenlos sicher sein. Ich glaube in unserer Welt gibt es nur sehr wenige Dinge, die 100% sicher sind. (z.B. ist 100% sicher, dass jeder mal von uns irgendwann abtreten muss)
Nenn mir doch mal ein Haus, dass absolut einbruchsicher ist oder ein Auto das absolut sicher ist oder eine andere Software, die absolut sicher ist ... Mensch, macht die Augen auf. Selbst Handys haben heute Sicherheitslücken. Letztendlich sind es ja nicht die Lücken, die alles so unsicher machen, sondern die "Spacken" die es sich zum Volkssport gemacht haben in einem Produkt Fehler aufzudecken.
Echt unglaublich, da kommt endlich ein neuer IE raus und es wird nur drauf rumgehackt. Opera, Firefox und Co hat auch Lücken, vielleicht nicht so viele, wie der IE, aber das hat auch die o.g. Gründe.
 
@Mac1309: Ich finde es richtig, da unerfahrene User vor vorgetäuschter Sicherheit geschützt werden müssen. Stelle dir vor niemand würde die Lücken aufdecken außer Hacker, na dann gute Nacht. Und das man es besser machen kann zeigen Opera und Mozilla.
 
@Mac1309: full ack
 
@Großer: Stell dir vor niemand würde die Lücke aufdecken, dann würde die auch kein böser Hacker ausnutzen um damit Schabernack zu treiben.
 
@Potty: Daten bringen Geld, TANs erst Recht, daher würde dies nicht der Fall sein.
 
@Großer: Trotzdem sind die Schuld die Schabernack damit treiben. Es tun aber immer alle Leute so, als würde M$ da absichtlich Fehler reinbauen, damit sich alle drüber aufregen können. Wenn jemand in eine Bank einbricht und Geld klaut dann kommt doch auch der Dieb ins Gefängnis und nicht die Bank.
 
@Mac1309: Die Lücke war bekannt, Microsoft hat geschlafen, so einfach ist das. Microsoft ist nur noch eine Frickelbude.
 
Ich halte die Meldung für einen Fake , egal ob ich den Browser gerade neu starte oder nicht es wird mir immer diesselbe Meldung (news.google.com im context) angezeigt obwohl die Google-news garnicht geöffnet waren.
 
@Vista2007: Kommando zurück , ich habs für ein vermeintliches Cross-site-scripting gehalten, ist es aber nicht. Ich tuh das was kein anderer schafft, ich gestehe einen Irrtum :D
 
Your browser is vulnerable! The test retrieved content from news.google.com in the context of your browser.

This actually means that if you were logged into your bank account, any web site you are visiting would be able to retrieve confidential data from your bank. This could also be used to retrieve personal settings entered on sites like eBay or Paypal.

weniger kritisch? hab ich da was verpasst :p
 
@cornelis: Hast du die Google-News geöffnet oder nicht ? ich tippe auf letzteres.
 
Die Lücke ist im IE6 bekannt und wurde noch nichtmal darin behoben ? Ich weiss wieso ich den Browser nur zum testen von Webseiten nutze und nicht für mein tägliches Surfen im Web.
 
Klar hat jede Software sicherheitslücken... Aber das diese in weniger als 24h schon gefunden und publik gemacht werden können ist halt ein Zeichen dafür, dass Microsofts "Qualitätskontrolle nicht ganz einwandfrei durchgeführt" wurde. (Zitat von MS zu apples ipod Trojaner...) Ms sollte sich um die eigene Qualität kümmern...
 
@Dschuls: Secunia hat die Lücke mit absoluter Sicherheit nicht in 24 Stunden gefunden, sondern nur kurz nachgesehen, ob sie immer noch drin ist. Während des Betatestes haben sie schön die Füße still gehalten und gehofft, das Microsoft den Fehler nicht doch noch behebt. Selbst redend haben sie Microsoft nicht expliziet auf die Lücke aufmerksam gemacht und jetzt versuchen sie die Voreingenommenen User zu beeindrucken, was für eine tolle Firma sie sind und wieviel sie von Sicherheit verstehen. So sieht jedenfalls meine Interpretation der Geschichte aus. Erst wenn Secunia glaubhaft versichern kann den Fehler berichtet zu haben, gelten sie wieder als seriös bei mir. Ansonsten sitzen sie im gleichen Boot wie McAfee und Symantec. Davon abgesehen hätte Microsoft wirklich etwas besser aufpassen können.
 
Bullshit. Die Lücke war seit 6 Monaten öffentlich bei Secunia nachzulesen und Microsoft war darüber informiert. Und wenn Secunia mal auf aktuellem Stand wäre, dann wäre ihnen aufgefallen, daß noch viel viel mehr Lücken in IE7 trotz Bekanntheit seitens Microsofts ungefixt blieben.
 
"Einen weiteren Schwerpunkt haben die Entwickler auf die Sicherheit gelegt. In der Vergangenheit wurde der Konzern immer wieder wegen der Sicherheitslücken im Internet Explorer kritisiert. " http://www.winfuture.de/news,28032.html
 
und active scripting wird immer einen zugang bieten...
 
alle die jetzt rumheulen wie "unsicher" er ist oder dass mit iceweasel das nicht passiert..a. wen juckts? ich z.B. werde wegen euch nicht den ie7 als standardbrowser ersetzen. und b. jeder mit nur bisschen mehr iq als ein toaster, weiß, welche daten er im netz angibt und vor allem: WO!! btw: mir ist in meinem ganzen beschissenen Leben noch keine mhtml:// Seite über den Weg gekommen.
 
@He4db4nger: Mir auch nicht, aber bleib mal locker :)
 
Eins verstehe ich nicht: Microsoft hat behauptet, daß man den IE größtenteils neu geschrieben hat, alleine schon aus Gründen der Sicherheit. War man dabei so gründlich bei der Kompatiblität, daß man sogar kompatible Sicherheitslücken wieder eingebaut hat? Oder war es doch keine so große Neuentwicklung wie behauptet und man hat, wie man es eher denken kann, halt einfach die Engine etwas erweitert und neu verpackt?
 
Ich habe den Test mal ausprobiert. Auf der Sicherheitsstufe "Medium-High" ist der Browser angreifbar. Durch deaktivieren von Active X soll das Problem aber behoben werden. So, hab alles bei Active X auf "disable" gestellt und der Test fällt immer noch positiv aus. Nur mit der Sicherheitstufe "High" geht der Test nicht. Liegt aber eher daran, das man den Link nicht mehr nutzen kann. (Es passiert nichts wenn man draufklickt^^).
 
Ein weiterer Beitrag zu Microsofts Sicherheitsinitiative "Sicher im Netz". Qualität die überzeugt!
 
Korrektur: Es ist die erste NEUE Sicherheitslücke im IE7, d.h. eine, die noch nicht vorher bekannt war und während der ganzen Enwicklungszeit unbehoben blieb.
 
Also ich verstehe ja nix vom Programieren, aber sind die Programierer bei MS eigendlich alles Stümper? Die haben sowas gelernt und sind nicht in der Lage so einen Fehler dirket und vor der Auslieferung zu finden? Eigendlich dürfte das doch für die nicht so schwer sein, meine ich. Wenn ich mal in meiner Firma einen Fehler gemacht habe, sehe ich das ja auch sofort und nicht erst wenn der Artikel ausgeliefert ist. Also ich kann sowas beim besten Willen nicht verstehen.
 
Die erste Sicherheitslücke hat länger auf sich warten lassen als ich gedacht habe
 
kommt bestimmt gleich mal wieder ein update oder patch hinterher

und nächste woche dann die IE7a oder so
 
Es ist hart, den Fehler auszunutzen, weil es den Angreifer erfordert, jemand zu einem böswilligen Aufstellungsort anzulocken, und damit der Angreifer weiß, was anderer sicherer Aufstellungsort der Besucher geöffnetes gleichzeitig haben konnte
 
Hallöchen
Einfach Active Scripting abschalten und gut ist.
Bei meiner Vista RC2 deutsch passiert mit dem IE7.0 garnichts.
Anscheinend liegt der Grund des Übels ganz woanders.
Schönen Abend noch
 
Tja, was soll man sagen? Microsoft wusste bescheid und tut wieder mal total überascht. Das ist schon fast fahrlässig. So gewinnt man aber keine Punkte, zumal Microsoft die Sicherheit als oberstes Ziel gesteckt hat. Alles nur phrasen.
 
hätte M$ früher angefangen, den 7er zu entwickeln...anstatt sich auf seinen lorbeeren auszuruhen...wäre auhc mehr zeit gewesen, die bugs und sicherheitslücken zu fixen.......ein "vorschnell" releasestes browserchen macht noch keinen spaß, solange "less criticals" mit solchem "ausmaß" bestehen. ...wäre sinnvoll, schnellstmöglich die ärgsten löcher zu stopfen...wieviel waren noch gleich? ca. 1500 ????

gree'z
 
Alles was der "Exploit" macht, ist über Ajax ne Seite abzurufen, die ein mhtml-redirect auslöst, woraufhin der Content einer im Script angegebenen URL geladen wird. Na und? Dazu bräuchte es nichtmal mhtml, das könnte man mit Ajax+Perl/PHP genauso im Firefox oder Opera realisieren. Es wird hier kein Schadcode ausgeführt, es können keine lokalen Informationen vom PC gelesen oder gespeichert werden, noch nicht mal sensible Sessiondaten oder gar Cookies werden ausgelesen. Die einzige Gefahr besteht im Faken von Internetseiten wie Sparkassen etc, indem man sich den Content holt, aber da könnte ein böser Hacker den Quelltext auch so kopieren, wozu also der Quatsch? Letztendlich sieht der User auch so, dass er nicht auf der richtigen Domain ist, und auch dass kein gelbes Sicherheitsschloss angezeigt wird. SSL-Daten lassen sich auch nicht darüber abrufen. Also wurscht. Gefahrenrisiko praktisch gegen null.
 
@xchrome
ahso, na dann...
Kommentar abgeben Netiquette beachten!

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles