IE-Lücke: Bundesamt warnt vor Microsofts Browser

Sicherheitslücken Das Bundesamt für Sicherheit in der Informationstechnik warnt vor der aktuellen Lücke im Internet Explorer von Microsoft, für die noch kein Patch zur Verfügung steht. Unter anderem wird der Einsatz eines alternativen Browsers empfohlen. mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Also MS hat doch neulich extrem schnell einen Fix für eine andere Lücke bereitgestellt. Wär gut, wenn sie das jetzt wiederholen würden.
 
@DennisMoore: Extrem schnelle? Dann müsste aber schon ein Fix vorliegen, alles was jetzt noch kommt fällt nicht mehr unter extrem schnell.
 
@DennisMoore: Ich versteh auch nicht so ganz warum sich MS nicht mal richtig zu dem Problem äußert, außer einer Warnung hab ich noch nichts gehört von denen. Wäre schön mal zu erfahren ob und wann ein Patch zu erwarten ist.
 
@OttONormalUser: Wahrscheinlich is das auch die Lücke, die der Schäubletrojaner nutzt und deswegen darf sie nicht geschlossen werden *lach*
 
@fredthefreezer: unlustig...unpassend...
 
@DasFragezeichen: ... bittersüß...
 
Dann sollte das BSI gleich vor dem Windows warnen. Da ist ja der Schund schon vorinstalliert!
 
@DennisMoore: seit bestehen des ie ist er brandgefährlich mit seinem aktivex und aktiv scripting. zahllosen löchern wurden gestopft , zu sehen an den zahlreichen updates die er hinter sich hat und was hat es gebracht nichts. das einzige was helfen würde windows und das internet sicherer zu machen, diesen browser einfach aus dem verkehr zu ziehen
 
Gestern warnt Bit9 vorm Firefox, heute warnt die Bundesregierung vorm IE... ICH warne vorm Internet... aber auf mich hört ja keiner :( By the way... welche Software läuft beim Bundesamt für Sicherheit in der Informationstechnik?
 
@Tyndal: Dort läuft wohl der WS-Browser (Wolfgang Schäuble) :)
 
@Elvenking: Das Ding ist dann wohl um ein Tracking Cookie rumprogrammiert worden =)
 
@Elvenking: das BSI ist net der BND oder das BKA.
 
@Tyndal: Die benutzen entweder links2 oder lynx :)
 
Mit einer guten Security Suite (Eset Smart Security) passiert garnix.
 
@Extreme-Burners: Du bist auch noch einer der denkt das Softwarefirewalls wirklich schützen oder? =)
 
@TheUntouchable:

Nein, aber ich bin einer der weiss das ESS nen Website Real Time Virenscan hat.
 
@Extreme-Burners: Das haben nicht nur Security Suites sondern auch einiger massen gute Antivirenscanner (Kaspersky zb)
 
@Extreme-Burners: Die Lücke wurde aber schon im Untergrund gehandelt als noch kein Antiviren Securityhersteller was davon wusste:-)
 
@Extreme-Burners: und der kann XML interpretieren?
 
Also wenn das Bundesamt schon vor dieser Lücke warnt, dann muss man diese Lücke ernst nehmen.
 
@Vista NT:

Die können ja über diese lücke den Bundestrojaner einspielen :)
 
@Extreme-Burners: Haben Sie doch schon längst, und Du NIX gemerkt???
 
@Vista NT: CNN bringt die Meldung auch schon im TV .
 
am besten den guten Feuerfuchs benutzen... und nicht MS-IE so weit wie es geht.. und vor Firefox wurde nur gewarnt weil dieser angeblich nicht durch eine zentrale Stelle aktualisiert werden kann, nur dann wenn man nicht weiß wie.. und das BSI nimmt bestimmt den Chrome Browser, wenn die auch Wert auf Überwachung legen :)
 
https://www.jondos.de/de/node/1365
 
Via SQL-Injection? Muss der Programmierer nicht selber darauf achten, dass diese nicht möglich sind? Ich verstehe nicht ganz, was das mit einer Sicherheitslücke zu tun hat.
 
@Blackspeed: Die SQL-Injektion findet auf dem Webserver statt und nicht auf dem jeweiligen PC.. Aber durch die Injektion wird die Website auf dem Server infiziert und jeder der die Seite aufruft hat dann ein Problem..
 
@TheUntouchable: OK, das verstehe ich. Wenn ich das richtig verstehe, ist eine SQL Injection, wenn zum Beispiel in einem Suchen-Feld ein SQL Befehl ausgeführt werden kann, wenn die Seite dementsprechend programmiert ist, dass der eingegebene Suchstring nicht komplett als String übernommen wird.
 
@Blackspeed: Wie genau eine SQL Injection funktioniert kann ich dir leider nicht sagen, deshalb hatte ich mich da auch zurück :) Ich weis nur das es erschreckend ist das es auf so vielen Webservern möglich ist sowas zu machen!
 
@Blackspeed: Im Prinzip funktioniert es genau so, ja. Wenn der Webserver Suchstrings für seine Datenbank aus Eingaben der Benutzer zusammensetzt und nicht genau prüft, WAS der Benutzer da eingegeben hat, dann kann, wer Ahnung von SQL hat, dort SQL-Befehle unterbringen, die den Datenbankinhalt mit dem Schadcode vergiften. Der Datenbankinhalt (und damit der Schadcode) wird später beim Anschaun der Website an andere Benutzer übertragen und infiziert über die Zero-Day-Lücke des Browsers dein System.
 
@TheUntouchable: SQL Injection ist __>grob gesagt <__ ein "hacken" in der Adressleiste. wenn ich auf http://Beispielserver.at gehe, und dort eine SQL DB nach dem Wort "SQL" durchsuche, ändert sich in der Adressleiste circa so http://Beispielserver.at/search.aspx?keyword=sql ........ wenn ich diese zeile im browser eingebe, komm ich automatisch zu den suchergebnissen..... anders kann ich zum Bleistift auch andere dinge da hinschreiben http://Beispielserver.at/search.aspx?keyword=sql+:GO+EXEC+cmds hell('format+C:')+__ ........... somit würde er nach SQL suchen, das cmd feld öffnen, und "format c:" hineinschreiben.... (zum glück geht format c seit Windows98 nicht mehr, während ich auf dem OS auf C: bin =)) ich hoffe ich habs somit einigermaßen verständlich erklärt
 
@cgd: OK, dann habe ich die SQL Injection richtig verstanden. Aber bei SQL kann man ja auch mit Objekten arbeiten, so dass er dann nicht nach irgendetwas sucht und dann den eingeschleusten Befehl ausführt, sondern, würde er dann der Suchstring so lauten, wie der eingebene Text lautet. Egal, ob SQL Befehl oder nicht. Deshalb verstehe ich die Sicherheitslücke nicht. Würde man in die Suchleiste eingeben: Suchtext: DROP DB ....: GO: oder was auch immer, würde er die Datenbank löschen, wo die Webseite nicht demensprechend abgesichert ist. Wird aber der Suchtext als Objekt übergeben müsste dann das System nach "Suchtext: DROP DB" suchen und nicht nach Suchtext und danach die Datenbank löschen. Zumal der Datenbankbenutzer auch das Recht dazu haben muss.
 
@Blackspeed: SQL Injection geht z.B. so, du hast in deinem PHP Code auf dem Webserver etwas wie SELECT * FROM db where ID = Wert vom Formular Jemand schreibt jetzt In das Formular " lalala : INSERT INTO db.image(whatever) Values(...): Jetzt setzt du den Wert vom Formular in deine Variable und hast plötzlich folgendes drin stehen: "SELECT * FROM db where ID = lalala : INSERT INTO db.image(whatever) Values(...): Für die DB sind das zwei Anweisungen die sie ausführt und damit Daten in die DB kommen, die da nicht hingehören, je nach Zielsystem kann man sich da viel einfallen lassen. Von daher sollte man als Programmierer darauf achten, dass man entweder prepared statements nutzt oder wirklich alles rausfiltert, was man nicht erwartet, wenn ich eine ID erwarte, caste ich halt einen Formularwert auf einen Int ... UPDATE: Wie man sieht ersetzt WF z.B. den Strichpunkt mit Doppelpunkt:-)
 
@[U]nixchecker: prepared statements. Ah, das war der Begriff, den ich die ganze Zeit versucht habe zu finden :). Stimmt irgendwie, das Semikolon scheint ersetzt zu werden. Und ich frage mich schon die ganze Zeit, was die Doppelpunkte da sollen :)
 
Dazu sollte man anmerken das der Programmierer selbst schuld ist da man die Sonderzeichen abfangen könnte in der Webapp selbst und so SQL Injection verhintern/erschweren könnte.
 
@root_tux_linux: Ja so einfach wenns immer wäre, du willst ja in manchen Fällen Sonderzeichen erlauben z.B. bei einem normalen Text. Daher kannste nicht immer nach Schema F vorgehen und alles rausfiltern was potentiell gefährlich wäre. Man kann sich viel überlegen, aber meistens vergisst man halt doch was:-) Oder man kennt die internals der DB der Programmiersprache etc. nicht und weis nicht, dass z.B. Hex Werte aus dem Formular je nachdem anders interpretiert werden und du mit deinem Filter ins Leere greifst.
 
@80486: Danke du, jetzt bin ich wieder um einiges schlauer :)
 
@[U]nixchecker: man braucht die Sonderzeichen ja nicht verbieten. Man nutzt einfach prepared statements. Dann sollte das Problem nicht auftreten.
 
Da haben wir es wieder schwarz auf weiß... Alternativen nehmen!
 
Zitat "Das Bundesamt für Sicherheit in der Informationstechnik warnt vor der aktuellen Lücke im Internet Explorer von Microsoft, für die noch kein Patch zur Verfügung steht."

Zu spät, bin schon lange gewechselt :)
 
1.) IE ist gefährlich
2.) FF ist gefährlich
2.) das internet ist gefährlich
4.)SPORT ist viel gesünder lol^^
 
@80486: Satz 4 bezweifle ich, frag mal die Bergrettung! Die WIntersportsaison hat gerade erst begonnen.
 
"Im Untergrund wurde der Exploit laut Informationen von 'heise.de' für rund 15.000 US-Dollar verkauft. " - auf milw0rm gibts ihn sogar Gratis :P
 
@TamCore: jetzt schon, es halt kein geheimniss mehr
 
sag doch gleich, daß der Computer gefähliche strahlung ab gibt *rofl*
mann mann mann, haben die leute nichmaehr alle tassen im schrank? Man kann sein Expertismuss ja noch weiter hoch stellen ... ich glaub ich spinne.. ich hab mir ja schion mein teil gedacht bei dem dingens hier über firefox, ab hey... der IE, geile geschichte, erzähle ich das meinem opa, der lacht sich scheps.. liebe grüße Blacky
 
@Blackcrack: wenn Du so erzählst wie Du schreibst, versteht Dich Dein Opa gar nicht.
 
@Blackcrack: ich lach mich auch schon scheps ne, da hab ich nichmaehr alle tassen im schrank. weil ich so ein expertismuss bin, hab ich mir ja schion mein teil gedacht, hey.
 
@Blackcrack: Das Wichtigste hast Du vergessen zu erwähnen: "mit ReactOS wär' das nicht passiert"! ReactOS ist IE-frei. ,-)
 
Von denen lass ich mir garnichts vorschreiben, selbst wenn ich IE gerade benutzen würde.
 
@Pac-Man: ... mal abgesehen davon, dass du dich gerade wie ein kleines, ungezogenes Kind gebärdest, schreibt dir niemand etwas vor, sondern warnt dich nur vor möglichen Gefahren ...
 
@Thaquanwyn: mist, hätt ich doch ein anderes geburtsjahr angegeben ^.^
 
Bravo winfuture! Endlich findet ihr diese Meldung erwähnenswert. Besser später als nie.
 
Wie viel nützt es bei so was, wenn man im IE7 unter Vista den "geschützten Modus" aktiviert hat?
 
@Reinhard62: Leider nix.Aber genauere Informationen gibt es bei Heise.
 
Wer auch immer von den "Cracks" kann hier für den Normaluser `ne profunde Anleitung posten, wie man die Sicherheitslücke (worin besteht die denn wirklich, Schadcode habe ich bisher immer ausmerzen können?) vorerst "aussitzen" kann? Bitte keine Post à la MS ist immer sh..t
 
@Feinstaub: ganz einfach entweder du wechselst für die zeit auf einen alternativen Browser oder du wartest auf den Patch der morgen von ms angeboten werden soll.http://www.heise.de/newsticker/Extra-Patch-fuer-Internet-Explorer__/meldung/120552
 
gelobt seien barrierefrei webseiten,die auch ohne JavaScript, flash oder sonstige plugins funktionieren!!!!
__-noch besser bedient wären allerdings die immer noch über 60% nutzenden IE-User mit FF oder konsorten...
 
Nur um die zu ärgern würd ich jetzt den IE nutzen :D
 
Updates für Firefox und SeamonkeyMozilla schließt zehn Sicherheitslücken in Firefox

ohne worte keiner ist besser
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles