Google-Angriff: Microsoft erläutert Lücke im IE

Sicherheitslücken Nachdem Google und viele andere große Unternehmen Opfer eines Hacker-Angriffs aus China geworden sind, stand kurze Zeit später fest, dass dafür eine bislang unbekannte Sicherheitslücke im Internet Explorer genutzt wurde. Microsoft veröffentlichte ... mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Was ist ist mit den usern, die ne illegale windows xp version nutzen? Das windows xp gibt es im torrent illegal wie am fließband zu saugen, natürlich wenn man den IE, nur nutzen will und NICHT auf firefox & co. umsteigen will!
 
@25cgn1981: als wenn sich solche Nutzer ne Platte um Sicherheitslücken machen würden.... Wenn dem so wäre, wäre das BS ein offizielles und keines von ner Torrent-Seite.
 
@25cgn1981: Die Hacker-Angriffe beziehen sich auf Unternehmen, nicht Privatpersonen... und ich kann mir nicht vorstellen, dass Google sich WinXP über 'nen Torrent zieht.
 
@25cgn1981: Sorry, aber ich finde solche User habens nicht besser verdient.
 
@mod366: OK, dann habe ich was missverstanden! Danke, für die aufklärung. Nicht das einpaar user auf die glorreiche idee kommen dass ich windows xp illegal nutze, habe windows 7 professional 32bit original OEM lizenz vom kmshop.
 
@25cgn1981: Kein Thema, aber gleich im ersten Satz heißt es schon "Nachdem Google und viele andere große Unternehmen Opfer eines Hacker-Angriffs aus China geworden sind, ..." :)
 
@25cgn1981: god bless you
 
@mod366: Privatuser merken es doch oft nicht mal wenn die gehackt werden. Ich arbeite im WebHosting und hatte in letzter Zeit ne ganze menge Seiten auf denen ein Script ausgeführt wird. Dieses hat einen Trojaner installiert der dann beim nächsten FTP-Zugriff die Zugangsdaten versendet und nen Tag später wird die komplette Web-Seite runter geladen, auch wieder der Trojaner rauf und Datei wieder hoch geladen. Auf manchen Seiten hatte ich schon gesehen, dass das Script dort mehrere Wochen lief... aber wer kontrolliert auch regelmäßig den Quelltext seiner ganzen Web-Seiten und der Trojaner wird scheinbar auch nicht von jeder anti Viren-Software erkannt. Dadurch wird er eher durch Zufall gefunden.
 
@derberliner06: da hast du natürlich vollkommen Recht, das war auch auf diese Nachricht bezogen, in der es halt wirklich um Unternehmen ging... Dass sich Privatuser dauernd Trojaner einfangen, die mal mehr mal weniger gefährlich/schädlich sind, ist mir auch klar^^
 
...und die erde ist ein scheibe, die von den bösen hackern durchgebohrt wird...
 
"Microsofts General Manager Trustworthy Computing Security" - einfach klasse. Klingt wie eine Mischung aus Heimatschutz, NSA, CIA und andere Organisationen, die wie nicht kennen. Sehr vertrauenswürdig.
 
@netmin: Microsoft ist klar, ein General Manager weist du auch was es ist und Computing Security auch...alles andere wäre komisch...was Trustworthy heisst weis ich effektiv auch nicht...aber ich finde die Bezeichnung relativ normal...
 
@bluefisch200: Trustworthy = vertrauenswürdig. @netmin: was klingt an "Microsofts Hauptgeschäftsführer für vertrauenswürdige Computer-Sicherheit" bitte nach CIA oder NSA? Dafür brauchen die keine seltsamen Bezeichnungen, dass Microsoft für die NSA ein Hintertürchen offen lassen soll, dürfte bereits allgemein bekannt sein.
 
@netmin: Man muss auf jeden Fall aufpassen mit den Abkürzungen - nicht das man dann blöd da steht. Wie zum Beispiel bei "Intelligent development Institut of Technology" - abgekürzt IDIOT :)
 
"Laut Stathakopoulos sind vor allem Anwender mit Windows XP und dem Internet Explorer 6 betroffen, die noch nicht das Service Pack 3 installiert haben" ... Also wenn mein Unternehmen noch auf solch einem alten Stand ist, dann würde ich mir als Unternehmenschef mal Gedanken über eine Neubesetzung der IT-Abteilung machen.
 
@DennisMoore: haha nur schade das noch viele große firmen genau auf dem stand unterwegs sind.
 
@DennisMoore: Das hat nichts mit der IT-Abteilung zutun. Das sind meistens Kosten die halt nicht von der IT direkt bezahlt werden, sondern von der Firma (die nichts mit IT direkt zutun haben muss). Grade bei großen Unternehmen ist eine Umstellung von XP auf Windows 7 z.b sehr teuer (oft wird daher ein BS übersprungen z.b Vista). Allein die Lizenzen, Hardware umstellungn einiger System etc. alte Software für z.b Anlagen etc. die nicht laufen. Alte Web-System die nur auf IE6 arbeiten usw. Manche Leute denken auch wirklich das jede Firma nur 100 Mitarbeiter hat und die IT-Abteilung keine Lust zum Updaten hat :)
 
@MysticEmpires: Ich denke eher es geht um XP mit SP2(oder niedriger) und den IE6, nicht um die Windows Version allgemein.
 
@darkalucard:Das ist genau der Stand bei uns. Das SP3 dürfte irgendwann noch kommen, der Rest vermutlich erst mit neuer Hardware. Die ist 5 Jahre alt. So ein Hard- und Softwarewechsel für alle ist aber ein enormes Projekt. 2004 wurde von NT auf XP gewechselt mit einem Riesen Hardware-Rollout. Jetzt ist alles wieder veraltet. Sowas zieht man immer lieber länger hinaus. Am Liebsten noch viel länger.
 
@DennisMoore: lass mich raten: du hast noch nie in einem(größerem) unternehmen gearbeitet...
 
@DennisMoore: Es ist ja nich nur das Problem von Treibern. Wenn ich bedenke, was kleien Firmen alles umprogrammieren mussten allein um ihr Programm vin NT auf XP laufen zu lkassen. Das können die gar nicht stemmen. Standart-Win-Progs sind bei uns in der Minderheit.
 
@DennisMoore: Was kann die IT-Abteilung dafür, dass du als Unternehmenschef die immensen Kosten eines Updates auf ein aktuelles Betriebssystem bei einer mittleren oder größeren Firma noch nicht bewilligt hast ... allein schon, weil die Vorteile sich nicht rechnen? Du bist wohl eher einer, der lässt Köpfe der unteren rollen, auch wenn die obrigen schuld sind. Deine Mitarbeiter tun mir jetzt schon leid...
 
@DennisMoore: Bei Schiwi (computerladen) arbeiten die noch mit Windows 2000 glaub ich (Kasse). Aufjedenfall sehr alt. Was läuft dat läuft. Natürlich sind die damit nicht online ^^
 
@Rulf: Mittelstand. Aber selbst mit unseren bescheidenen Mitteln ist es ohne weiteres möglich ein SP3 und nen IE8 ohne größeren Aufwand zu installieren. Großunternehmen haben a) viel mehr IT-Leute als wir und b) meistens auch Softwaredistributionssysteme. @MysticEmpires: Das SP3 kostet nix und der IE8 auch nicht. Es muß sich nur mal einer 2-3 Stunden hinsetzen und sich um die Angelegenheit kümmern. @koenighonk+Lofote: wer spricht von einem Plattformwechsel? Wenn ich XP SP1 oder XP SP2 habe, kann ich doch einfach kostenlos auf XP SP3 und IE8 wechseln? Das sind ein paar Klicks im WSUS. Alternativ kann man auch Gruppenrichtlinien nehmen.
 
@DennisMoore: Kosten sind ein wichtiges Argument noch alte Software und Hardware einzusetzen, aber fehlende Patches sind unendschuldbar und ein Kündigungsgrund für den Admin. Patches sind - wie Du richtig gesagt hast - kostenlos und daher ist das Fehlen einfach nur Schlampigkeit oder Dummheit. Nach deutscher Rechtsprechung kann man Admins die grundlegende Sicherheitsfunktionen nicht installieren (z.B. Patches) sogar fristlos feuern und auch noch Schadensersatz fordern.
 
@Timurlenk: Auch Patches müssen ausgiebig getestet werden. Die werden nicht einfach so mal am Patch Day verteilt, sondern Wochen bis Monate später. Das gilt erst recht für ein SP.
 
@DennisMoore: "... Es muß sich nur mal einer 2-3 Stunden hinsetzen und sich um die Angelegenheit kümmern" - lol, und du denkst allen ernstes, damit ist es getan? mit 2-3 std? - ich arbeite in einem Unternehmen das 115000 MA in D beschäftigt und noch mehr im Ausland. wieviel standorte dies sind kannst dir selber vorstellen. was glaubst du wieviele webanwendungen da im einsatz sind die vorher getestet werden müssen?!? das meiste wurde für den IE6 entwickelt usw. - es kommt nicht auf die inatallationsdauer vom patch, sondern die zeit die es dauert bis alle systeme damit getestet wurden. da wird gerne etwas ausgelassen oder es dauert einfach seine zeit bis es eingespielt werden kann
 
@mega: Dann müssen sich halt 10 Leute 2-3 Stunden hinsetzen. Mit steigender Unternehmensgröße steigt auch die Anzahl der Admins (sollte zumindest). Außerdem ist es bereits ein paar Jahre her, seit der IE6 abgelöst wurde. Da hätte man seine Webanwendungen schon 10 Mal testen können.
 
@kaffeekanne: Nochmalerweise Solte jede Firma updates für Windows und co grundsätzlich installieren. Wer das nicht tut hat ein großes sicherheitsrisiko. Bei uns in der Firma werden Windows Updates zwingend eingespielt. Das SP3 kam zwar ein halbes Jahr später das lag aber daran das die Server vorher abgestimmt werden mussten. Da wir bei uns Rechner mit win 3.1, NT, 2k, XPSP1 SP2 SP3 haben. (ich weiß win 3.1 ist alt aber bei Produktionsystemen stellt man nichts um).
Der umstig von XP auf Vista oder gar 7, ist sehr teuer weil man nicht nur neue Hardware braucht sondern weil im normalfall das ganze Firmennetzwerk auf die Systeme umgestellt werden muss. Und bei uns in der Firma gilt halt "Never-touch-a-running-System" deshalb haben wir in der Fabrik auch noch CP/M systeme.
 
Ich finds am verwunderlichsten das Google überhaupt den IE verwendet wo es doch einen Hauseigenen Browser gibt^^
 
@rockCoach: Ja, das habe ich auch gedacht. Wenn die Lücke im IE6 verwendet wurde, heißt das doch, dass Google-Mitarbeiter noch mit dem Ding unterwegs sind... Das wäre aber wirklich komisch, abgesehen von Chrome, sollte man meinen, dass das keine IT-Anfänger rumhängen, die nicht wissen, wie man den IE6 auf 8 updated.
 
@humfri: warum die IE 6 nehmen ist wirklich merkwürdig aber updaten von mitarbeitern wird sicher nicht sein weil die kein Admin Rechte haben werden ^^
 
@snoups: schuld sind meistens unternehmenweite intranetanwendungen(besonders in der produktion), die mal wegen den speziellen eigenarten des ie6 für teures geld entwickelt wurden, und nun nicht mehr so leicht auf andere platformen(richtige browser) portiert werden können...so wollte man wohl damals das geld für die entwicklung von standalone-programmen sparen...
 
@snoups: Habt ihr vielleicht einmal daran gedacht, dass in Entwicklungsabteilung alle Browserversionen ggf. auch zum Testen der eigenen Produkte genommen werden? Ich denke, das ist der Haken. Man muss damit testen, ob alles so funktioniert, wie es soll aber öffnet gleichwohl die Tür an äußerst empfindlicher Stelle für externe Angriffe. Den gesunden Kompromiss zu finden zwischen Testmöglichkeit und Sicherheit dürfte da das Zünglein an der Waage sein.
 
@rockCoach: Hast du den Artikel gelesen? Hier gehts nicht drum, dass Google den IE verwendet. Für mich sieht das nach einer DDOS-Attacke auf Google und andere große Unternehmen VON EXTERN aus.
 
@rockCoach: Sollte es nicht eher so sein, dass die Testrechner unabhängig von der internen Firmenstruktur betrieben werden? Weil - man weis ja nie...
 
@Diak: Normalerweise sollte das so sein, obwohl einige Firmen die zusätzlichen Investitionen scheuen. Obwohl: Für Google sollte das eigentlich kein Problem darstellen, eine spezielle Testumgebung zu schaffen. - Aber man weiß ja nie....
 
Es wird nie so heiss gegessen wie etwas gekocht wird.
 
Upgrade auf FF würde einiges mehr bringen :)
 
@chill0r: ja - lansamer
 
@chill0r: Ein Produktwechsel ist niemals ein "Upgrade", auch wenn du das als einfacher User so empfinden magst, nur weil du den Firefox besser findest... Argh, "Fans", die schlimmste Sorte Menschen der Welt :)...
 
@Lofote: sarkasmus ist nicht jedermanns sache :)

das nächste mal schreib ich noch mit anführungszeichen, dann wirds verständlicher =)
 
@chill0r: Ich sehe da aber ein Problem. Wenn ich als Benutzer unter Windows bin (hier jetzt XP) ist ein Update auf eine neuere Version nicht möglich (Option ist grau) Das heisst ich muss mich erst umloggen als Admin und updaten, das geht aber in einer Firma schlecht und die Updates werden ja nicht per Autoupdate verteilt. Korregiert mich wenn ich falsch liege.
 
Bitte nicht gleich Steinigen

ich benutze denn IE 8 aber nur im INPRIVATE modus (für OnlineBanking) ist das bedenkenlos oder sollte ich es erst einmal lassen.
 
@Play-Land2008: Hallo: Wie in der News zu lesen ist, wenn du den IE 8 und VISTA, oder Windows 7 hast, dann bist du von dieser Gefahr nicht betroffen. Bei XP brauchst du noch das Service Pack 3, dies kannst du kostenlos bei MS beziehen, auf ihrer Homepage, oder über Windows-Updatet. Allgemein gesagt, es spielt in der Regel keine Rolle welchen Browser du nutzt. Jeder ist anfällig und hat Lücken. Also sachlich gesehen, nimm den Browser der dir am besten gefällt und sei einfach glücklich damit. Falls du XP noch verwendest und das SP 3 noch nicht installiert hast kannst du es hier runterladen und danach einfach installieren. Dauert aber bis zu einer Stunde. http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&DisplayLang=de
 
dank China müssen webdesigner bald nicht mehr auf IE6 entwickeln! Hail China!
 
@sTr: Die armen Webdesigner, die für IE6 entwickeln müssen... *ironie*... lol, die heutigen Webdesigner sind Weicheier, denn keiner musste vor nicht mal 6 Jahren für Netscape 4 entwickeln... da ist IE6 ein leichtumgängliches Schmusetier gegen die Anstrengungen, die früher notwendig waren, um eine Seite Netscape 4-tauglich zu machen. Heutzutage sind Webdesigner echte Jammerlappen.
 
@Lofote: Wieso denn das? Dank dem Firefox und den anderen Browsern die auf echte Standard setzen, als die von MS interne Schei**e braucht man doch nur jetzt einmal was proggen und sieht überall gleich aus (ausser IE?) Aufjedenfall war das damals ein graus, wenn man nur für den Firefox was erstellt hatte. Im IE sah das alles völlig anders aus und funktionierte nichtmal richtig. Also was das betrifft ist es doch besser geworden ?
 
@exqZ: Firefox und standardgetreu? Das ist wohl ein Witz. Der IE8 hält sich da eher noch mehr an Webstandards...
 
inprivate verhindert nur das speichern von spuren(keksen, cachen, besuchte seiten, usw) oder löscht diese nach dem schließen des browsers sofort wieder...hat aber mit der sicherheit an sich nicht viel zu tun...dafür ist eher dieses ie-typische sicherheitmodell mit den stufen zuständig...kannst aber auch benutzerdefiniert viel selber einstellen... wenn du weist was du tust ...edit: da hat mal wieder der blaue pfeil nicht funktioniert... :(
 
Das Verhalten von Microsoft ist wieder typisch. Eigene Fehler herunter spielen. Wer sich mal genau mit der Sicherheitslücke befasst, der sieht, das diese Lücke wirklich alle aktuellen IE- und Windows-Versionen betrifft. Daher warnt hier auch das BSI nicht ohne Grund. Das Verhalten von Microsoft ist wirklich fahrlässig, denn man versucht hier seitens Microsoft bewusst von einer massiven Sicherheitslücke abzulenken. Das wäre genauso, als würde ein Autohersteller einen massiven Konstruktionsfehler an den Bremsen seiner Modelle bewusst herunter spielen, obwohl dieser Fehler ein massives Sicherheitsrisiko darstellt. Hier würde jeder direkt auf die Barrikaden gehen.
 
@kfedder: Würdest du Lesen können, wüsstest du, dass MS nichts runterspielt, sondern unter Hochdruck rund um die Uhr an einem Fix arbeitet. Noch schneller geht es nicht. MS kann nicht wie Mozilla einfach ein Patch veröffentlichen, MS muss das erst ausgiebig auf vielen Konfigurationen testen. Auch wenn der IE ebenfalls kostenlos ist, ist er nämlich Bestandteil von Windows und für letzteres hat man bezahlt. Ebenso zahlen Firmen für Support/Service Geld. MS hat lediglich erwähnt, dass man wesentlich sicherer unterwegs ist, wenn man ein aktuelles OS bzw. eine aktuelle IE Version verwendet. Ebenso wurde erwähnt, dass die Lücke dort auch besteht, aber wie gesagt nicht zu leicht zum tragen kommt und bisher noch nicht erfolgreich ausgenutzt wurde. Nicht mehr und nicht weniger. Fazit für dich: Lesen lernen!
 
@sushilange: ich habe den Artikel richtig gelesen und habe nach aber auch bei anderen zuverlassigen Quellen schlau gemacht, um das Ganze objektiv beurteilen zu können. Und alle meine Quellen belegen unabgängig voneinander, das diese Sicherheitslücke alle Windowssysteme und alle Browserversionen der IE ab Version 5 betrifft. Da der IE festes Bestandteil von Windows ist, besteht die Gefahr trotzdem, auch wenn man den IE nicht verwendet oder deaktiviert. Viele Funktionen im System nutzen die Browserengine des IE für Internetzugriffe. Eine Funktion ist hier z.B. die Updatefunktion von Microsoft. Auch einige VB- und .NET- Funktionen nutzen die Browserengine des IE. Somit kann hier die Sicherheitslücke zum Tragen kommen.
 
@kfedder: Bitte um Quellen, aber nicht wie z.B. solche, die behauptet haben Google zieht sich aus China zurück, ohne das Google etwas davon wusste. Ich glaube kaum, das MS so was veröffentlicht, wenn es so einfach zu widerlegen ist. Man kann MS vielses Unterstellen, aber dumm sind die nicht.Jeder durschnittlicher Informatiker kann nach der Veröffentlichung der "Fehler"-Codes ja alles selbst prüfen.
 
@Rumulus: Du willst unabhängige Quellen haben? Frag einfach mal beim BSI nach. Da sollte man ja unabhängig sein.
 
@sushilange: Hätte Microsoft in den 90er Jahren mehr Wert auf Sicherheit gelegt hätte, anstatt sorglos alles nur auf Profit und Ausnutzung der Monopolstellung auszurichten, dann hätte man heute nicht diese massiven Sicherheitsprobleme in ALLEN Microsoftprodukten und man könnte sich intensiv auf das Kerngeschäft konzentrieren und vernünftige Software entwickeln. Da aber ein großer Teil der Entwicklungsarbeit durch Beseitigung von Altlasten verbraucht wird, ist logischerweise keine effektive Entwicklungsarbeit möglich. Kommt dann noch ein unfähiges Managment dazu, wird das Ganze noch schlimmer.
 
@kfedder: Das ist Quatsch und nicht belegbar. Linux, Mac OS, Firefox, Opera, OpenOffice, einfach jede Software ist mindestens genauso unsicher wie Windows, Office oder der IE. Das liegt in der Natur der Sache. Windows, Office und der IE sind jedoch so weit verbreitet, dass zum einen Sicherheitslücken häufiger entdeckt werden und zum anderen für Angreifer viel interessanter sind. Hätte Linux ne Marktverbreitung von 80%, würde heute jeder sagen, dass Linux total unsicher sei und Windows total sicher! Was meinste, warum es kaum bis keine Viren für Mac OS und Linux gibt? Es lohnt sich für Angreifer einfach nicht! Technisch möglich wäre es jedoch! Das Rechtesystem schützt bei Linux nämlich auch nicht davor, zumal es auch umgegangen und ausgehebelt werden kann.
 
@sushilange: du hast wirklich keine Ahnung. Eine Software oder ein OS mit vernünftigem Sicherheitskonzept ist auf jeden Fall nicht so anfällig wie sämtliche Microsoftprodukte. In Bezug auf Sicherheit hat Microsoft in den 90er Jahren wirklich schlampig gearbeitet. Wie kann es sein, das Office 97 das hochgelobte UAC aushebeln kann und selbst Microsoft vor der Installation warnt. Wenn Office 97 das UAC aushebeln kann, was können denn dann Viren?
 
@kfedder: Habe nicht anders errwartet. Das BSI hat aber keine Stellung dazu bezogen, wie es z.B. ab XP SP3 ist? Oder ob das Problem auch besteht wenn man DEP einschaltet. Sie warnen nur vor der Nutzung des IE, aber gehen nicht weiter auf das Problem ein. Es kann angenommen werden, dass bei Behörden viele Rechner immer noch auf einem sehr alten stand sind, und das SP3 für XP nicht installiert ist. Darum ist es in deren Ansicht besser allgemein zu warnen. BSI ist ist kein Beweis, da vieles einfach offen ist und nicht auf das was MS JETZT sagt eingeht. Genau solche Aussage habe doch explizit ausgeschlossen. ISt doch genau so wie bei Google, bevor MS dazu Stellung nehmen konnte. Ich will von dir einen Beweis sehen, dass die Gefahr auch besteht ab XP SP3 aufwärts! Ach ja und wer nutzt Office 97 in Zusammenhang mit VISTA oder Windows 7 und dass das Problem bereits gelöst ist, ist, dir wohl auch nicht bekannt? Zeige mir ein VIRUS der die UAC umgehen kann. Keine Ausflüchte, sondern Fakten will ich sehen!
 
klasse schachzug von ms. "das betrifft nur xp nutzer mit...". gleich mal wieder einen wink das man doch lieber win 7 installieren sollte (das da das problem auch besteht, sagt man ja garnicht erst). auch wenn ich nicht win7 nutzen werde, dürft ihr trotzdem artig wieder minus verteilen.
 
@snoopi: Ich hab hier XP und grins mir ein, da ich den IE seit der Version 5 nicht mehr verwende, also halb so wild. In Firmen ist das natürlich nicht so einfach.
 
@snoopi: Lies die ganze News nicht nur den Titel. Das Problem besteht nur unter XP ohne SP3. Alle anderen scheinen davon nicht betroffen zu sein! Wenn du einen Beweis für eine andere Aussage hast, dann bitte nur her damit?
 
@snoopi: ich schätze mal deine minuse bekommst du nur, weil du die news halbherzig oder nicht ganz liest. oder du verstehst sie nicht, das könnte natürlich auch noch sein :)
 
@Ruderix2007: du solltest dich auch mal aus anderen Quellen informiren, damit du solche Sicherheitslücken auch objektiv beurteilen kannst.
 
.... nutzt den IE überhaupt noch jemand.... ?
hm, denke eher wenige... :-)
 
@basko3: denken ist scheinbar nicht deine stärke. es gibt noch einen anderen bereich als den privat PC
 
@mega: warum denn immer so unfreundlich... -.- ???
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles