Pwn2Own: Internet Explorer 9 erfolgreich geknackt

Im Rahmen des Pwn2Own-Hackerwettbewerbs auf der CanSecWest-Security-Konferenz war es den Sicherheitsexperten von VUPEN möglich, den Internet Explorer aus dem Hause Microsoft erfolgreich zu knacken. mehr... Microsoft, Browser, Internet Explorer, Internet Explorer 10, IE10 Bildquelle: Microsoft Microsoft, Browser, Internet Explorer, Internet Explorer 10, IE10 Microsoft, Browser, Internet Explorer, Internet Explorer 10, IE10 Microsoft

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
prima, dann steht's ja wieder 1:1. Mal sehen wer schneller fixt.
 
@jackattack: Ist doch schon gefixed in Chrome: http://winfuture.de/news,68542.html
 
@wunidso:MS tut sich naturgemäß viel schwerer mit einen Fix. Das liegt daran, das der IE viel zu tief im System verankert ist, wenn man da was tauschen möchte, muß man ewige Tests fahren ob alles andere noch genauso funktioniert wie es soll.
 
@skyjagger: Die Verankerung im System ist weniger der Grund, schließlich hat MS das System entwickelt und viel mehr Entwickler als die Konkurrenz, die sich der Sache annehmen können. Das Problem liegt auf Seiten der Kunden, genauer der Kundenzahl. Es macht einen Unterschied, ob man mit seinem Browser ein paar Prozent der PC-Nutzer bedient oder die große Mehrheit. MS muss ungleich mehr als die Konkurrenz bei jeder ihrer Software darauf achten, dass die Änderungen keine neuen Probleme hervorrufen. Die dürften einen viel umfangreicheren Testparkour haben, während das eigtl. Fixen der Fehler gleich schnell oder schneller als woanders geht. Zudem, welche Firma nutzt schon Chrome oder Firefox? Der IE wird in Unternehmen am meisten genutzt, darum darf es keine riskanten Schnellschussupdates geben. Bei Privatnutzern ist das kein Problem, der kann ja mal eben das Update wieder deinstallieren und nix ist gewesen. Vor diesem Hintergrund macht MS das eigtl. schon sehr sehr gut mit den Updates, wenn man bedenkt, wie selten es damit irgendwelche Probleme gibt bei so viel hundert Millionen Nutzern.
 
@mh0001: Das wäre nur richtig, wenn der IE 9 mehr Marktanteile hätte, hat er aber nicht.
 
@Yogort: Schon mal darüber nachgedacht wieviele Rechner ein Marktanteil von 25% Weltweit sind?
 
@dediee: 1/4 aller Rechner etwa?
 
@Yogort: Allerdings sind IE 6 bis 10.beta betroffen. Also die Mehrheit aller genutzten Browser.
 
@Yogort: selbst wenn der browser kienen großen marktanteil hat benutzen sehr viele drittprogramme den ie ebenfalls, ebenfalls wie ms eigene programme (oder windows programme), praktisch verwendet also jeder windows pc komponenten vom ie zur darstellung.
 
@0711: jo, finds auch ne Frechheit, das die div. (Dritt)Softwarehersteller da keine Standardbrowser Erkennung verbaut haben. Ärger mich auch jedesmal, wenn dann ungebetener Weise und teils sturheil der IE statt der FF hochpoppt und sich mit der Herstellerseite verbindet. So können Statistiken auch verfälscht werden, wenn man erst garkeine Chance gelassen kriegt, den IE zu vermeiden...
 
@DerTigga: ich meinte weniger die welche den ie fix aufpoppen lassen sondern zum rendern von programmelementen nehmen. Übrigens hast du eine chance solches verhalten abzustellen, indem du den ie in den windows funktionen deaktivierst.
 
@0711: Der IE kann also so wertvoll eingestuft bleiben wie er ist, da eine "Begradigung" der Statistik vernachlässigbar ist. Ist ja schließlich abstellbar, das man wider Willen zur Steigerung der Nutzerzahlen beiträgt. Die mit abwürgen des IE einher gehende sonstigen Probleme hat man natürlich gefälligst zu ertragen, was ist man auch so vermessen, König IE den Thron nicht gönnen zu wollen .. *fg
 
@DerTigga: es gibt keine probleme wenn man den ie in den windowsfunktionen deaktiviert, denn gemeinsam genutzte komponenten wie mshtml u.ä. bleiben auf dem system aber dass du das weisst bezweifel ich eh....
 
@0711: Der IE geht trotzdem auf, auch wenn man ihn in den Windowsfunktionen deaktiviert, soviel zu Wissen welches man anzweifeln kann.
 
@OttONormalUser: und unter welchem prozess läuft der dann? Mir ist kein programm bekannt dass den ie starten kann wenn man ihn in den windowsfunktionen deaktiviert, wie auch? Die iexplore.exe fehlt ja ebenso... (systemsteuerung -> Programme -> Windows Funktionen aktivieren oder deaktivieren -> haken bei internet explorer weg). Kannst du davon mal ein video machen oder mir ein programm nennen dass den ie startet obwohl er nicht mehr vorhanden ist?
 
@0711: Wenn man Chrome deinstalliert z.B., für das Feedback öffnet sich bei mir der "deinstallierte" IE, obwohl Fx da ist und als Standardbrowser eingetragen ist. Beim Messenger ist es genauso, man "deinstalliert" ihn, und wenn man einen neuen User anlegt ist er wieder da. Wenn man unter XP (W7 weiß ich nicht) in Access ein .jpg per Shell Befehl dem System übergibt, öffnet sich sogar ein IE8 mit IE6 Symbolleisten ;-)
 
@OttONormalUser: XP betrachte ich schon länger nicht mehr (auch in sachen sicherheit ist das vista und aufwärts weit unterlegen, wenn wir schon beim thema sind und dass es dafür nur ie8 gibt disqualifiziert es sich eh für n aktuellen browservergleich), mag sein dass es hier vielleicht noch so war, das kann ich im moment nicht nachstellen mangels xp installation in reichweite aber ich konnte dein beschriebenes Verhalten mit Chrome deinstallieren weder unter Vista, 7 noch 8 nachstellen, es passiert nach der deinstallation ohne IE schlicht garnichts weiter, nichts poppt auf, kein ie ist aufrufbar.
 
@0711: Das Xp Beispiel bezieht sich auf Access, Chrome hab ich unter Win7 deinstalliert, und der IE öffnet sich danach anstatt der Fx, warum das bei dir anders ist, kann ich nicht nachvollziehen.
 
@OttONormalUser: unter welchem prozess läuft der ie bei dir denn? Denn nach deinstallation bzw deaktivierung ist die iexplore.exe normalerweise nicht mehr vorhanden (ist die bei dir noch unter %programfiles%\internet explorer bzw %programfiles% (x86)\internet explorer vorhanden?). Ich habe auch geschaut was passiert wenn ich einen neuen user anlege, kein ie in sicht.
 
@0711: Du das schau ich heut nicht mehr nach, dazu müsste ich ja erst mal Windows booten, und unter Kubuntu startet auch kein IE ;-)
 
@OttONormalUser: wine hilft dir da sicher :P ... würd mich trotzdem interessieren wenn du die tage mal windows startest, denk an mich.
 
@0711: Wine bringt Unsicherheiten mit sich, aber ich werd an dich denken, spätestens am Patchday ;-)
 
@Yogort: grundsätzlich hat fast jeder Rechner IE drauf, in vielen Firmen wird IE auch für Intranet usw. genutzt (gibt viele Applikationen für IE). Für Internet werden teilweise andere Browser genutzt und eben wegen dieser Applikationen für den IE muss man umfangreicher testen, also hat mh0001 schon recht.
 
@skyjagger: ms hat wohl weniger ein problem damit dass es "tief" im system integriert ist sondern viel mehr damit dass auch ettliche drittprogramme den ie für die darstellung verwenden und auch die sdl praktisch kein fix innerhalb eines tages zulässt.
 
@0711:" ms hat wohl weniger ein problem damit dass es "tief" im system integriert ist sondern viel mehr damit dass auch ettliche drittprogramme den ie für die darstellung verwenden und auch die sdl praktisch kein fix innerhalb eines tages zulässt."
und warum tun dies 3. programme und windows/ms eigene? weil sie wissen dass der ie tief im system sitzt und somit die corekomonenten, auch bei den win-versionen die ohne ie kommen, vorhanden sind. wäre der ie also nicht so tief im system und allgegenwertig würde ihn niemand vorraussetzten um zb etwas darzustellen sondern es ohne realsieren.
 
@chris1284: genau weil sicher ist dass diese komponenten vorhanden sind...das ist genauso wie wenn man davon ausgeht dass bestimmte apis vorhanden sind, es ist auch eine vereinfachung für entwickler...dass ist in etwa so wie bei kde und diversen kde programmen (oder gnome oder gtk oder oder oder). Das hat nichts mit einer etwaig tiefen integration ins system zu tun sondern bedingt nur viele abhängigkeiten.
 
Was für eine Berichterstattung. Absätzeweise wird hier geschrieben, wie unsicher der IE ist, ganz unten dann dass 2 Mitarbeiter 6 Wochen Lang eine Lücke gesucht haben und nur als mini Vermerk dass Chrome innerhalb von 5 Minuten geknackt werden konnte ;)

Abgesehen davon: Wie größ wäre denn reell die Wahrscheinlichkeit dass so etwas in großem Maße ausgenutzt werden könnte? Ich meine erstens die wochenlange Recherche und Suche nach Lücken, dann eine Effektive Software schreiben die das ausnutzt und dann noch so verbreiten dass es Schaden anstellen kann? In der Regel sollte doch innerhalb der Zeit schon ein Update vorhanden sein? IE6 nehm ich mal aus dem Ganzen heraus, da wird es kaum noch Updates geben.
 
@imagodespira: Selbstverständlich wird der Internet Explorer 6 noch bis April 2014 mit Sicherheitsupdates versorgt. Dann endet der Extended Support für Windows XP. Glücklicherweise wird er schon heute kaum noch verwendet, zumindest in unseren Breitengraden.
 
@sDaniel: Ok, hätt ich nicht gedacht;) Der Anteil sinkt berechtigt schnell, hoffe der wird bald mal verschwinden.
 
@imagodespira: Es hat ca. 6 Monate gedauert bis der exploit code für die chrome lücke programmiert wurde. Behauptet wurde es schon lange, bewiesen wurde es erst jetzt.
 
@fudda: mit dem unterschied dass damit nicht gesagt ist dass hier 6 monate am exploit gearbeitet wurde...
 
@imagodespira: Die Chance das es reell ausgenutzt wird ist extrem groß. Denn die bösen Buben haben noch viel mehr Zeit und manchmal auch Erfahrung auf diesem Gebiet. Nur das diese die Schwachstellen nicht melden sondern still und heimlich ausnutzen. Da wollen die ja kaum das die Schwachstelle schnell beseitigt wird.
 
@imagodespira: Was hat das eine mit dem anderen zu tun? Oder ist es ein Hobby von Dir Äpfel mit Birnen zu vergleichen? Die Suche nach der Lücke im IE hat 6 Wochen Ausarbeitung gekostet, dagegen hat das nutzen eines bekannten Exploits für Google Chrome 5 Minuten gedauert. Das Nutzen des bekannten Exploits für den IE wird auch nicht länger gedauert haben bzw. das Finden des Exploits für Chrome wird mit Sicherheit ähnlich lange gedauert haben wie beim IE.
 
"ist der Microsoft-Browser seit der Version 6 dafür anfällig." Immer wieder bemerkenswert, wie lange solch eine Schwachstelle unentdeckt bleibt! Das soll jetzt nicht negativ gegen MS sein. ;)
 
@testacc: eher positiv, ne!
 
Hat der Internet Explorer 9 je mal was getaugt
jetzt aber..
 
wieder ein grund mehr beim ff zu bleiben............
übern ff hört und liest man net so viel negatives wie übern ie.
 
@snoop-snoop: Seltsamerweise liest man bei jedem der ständig erscheinenden Versionsupdates des FF sowie Chrome immer wieder was von gestopften Sicherheitslücken. Kann man natürlich nur als Postiv betrachten, so ein ständiges flicken von Löchern ohne das man vorher groß daruf hinweist.
 
@snoop-snoop: ganz einfach, weil beim ff keine derart ausgeklügelte sicherheitsmechanismen zum einsatz kommen wie beim chrome oder ie...ff ist ebenfalls gefallen, findet aber wohl niemand wirklich interessant http://kurzurl.net/AXLcb
 
@0711: Naja, ist ja klar, dass davon niemand was wissen will.
 
was nutzt ihr denn?
welcher ist denn nun besser uns sicherer?
 
@snoop-snoop: ich nutze ie und opera...in sachen sicherheit dürfte ie, opera und ie zwischenzeitlich ziemlich weit vorne stehen, wobei opera am wenigsten im visier sein dürfte und damit die reale gefahr am niedrigsten.
 
@0711: vor einem sowas halbgares posten solltest du aus Vermutung Gewissheit machen.
 
@DerTigga: das ist mein wissensstand, was bietet firefox denn im vergleich zur konkurenz mehr an featuren die sicherheitslücken (die es zweifelsohne überall gibt) abschwächen können? Mag sein dass ich irgendwas bezüglich firefox nicht weiss/mitbekommen habe, es wäre mir in dem fall aber nicht bekannt, deshalb IE+Chrome...opera (der solche zusätzlichen schutzmaßnahmen ebensowenig wie der ff hat) habe ich aufgezählt da sich dieser in der vergangenheit als sehr robust erwies, sprich sehr wenig angriffsfläche bot.
 
@0711: Der Punkt Spartano-Reduzi-Ausstattung und ziemlich sicher kontra vermehrte Chance auf Lücken bei verbauen können/dürfen von z.B. 70 Helferlein-Plugins wird wohl ewig bestehen bleiben. Realistisch betrachtet, dürfte es wohl fast etwas selten sein, das es weltweit Opera oder Firefox oder *** Installationen gibt, die wirklich 1 zu 1 identisch konfiguriert/ausgestattet sind. Wie man da eine ernsthafte Sicherheitslücken besser oder schlechter Diskussion führen kann und soll...
 
@DerTigga: es gibt eben techniken die können sicherheitslücken vermeiden bzw deren auswirkung minimieren, ff hinkt hier chrome oder dem ie einfach hinterher, wie man das ernsthaft anzweifeln kann....(von dem abgesehen ist dieses helferlein plugin problem durchaus auch nicht bei allen browsern gleich ausgeprägt)
 
@0711: Genauso gibt es auch Techniken, den Opera und den IE künstlich schön und ausreichend zu reden bzw. auf Basis von veraltetem Image hoch zu halten. Du beherrschst das prima ;-) Für mich sind beide, im Vergleich zur jahrelang gewohnten Machbarkeit, Konfigurierbarkeit und der gewohnten Menge an Feinjustieroptionen (in teils lizensierten Plugins) beim Firefox, nur eins: teilkastrierte Browser
 
@DerTigga: kannst ja gerne entsprechende links posten, für die zeit die es opera 11.x gibt gab es nur wenig mir bekannte sicherheitslücken http://kurzurl.net/Ibp7k . Was jetzt groß gegen den ie spricht würde mich auch in der tat interessieren http://kurzurl.net/5v4po ...du könntest ja durchaus auch deine weisheit preisgeben die ein anderes bild vermitteln vermag, was beherscht denn der ff z.B. an zusätzlichen sicherheitsfunktionen um sicherheitslücken abzufangen (sanboxing? zumindest nicht ootb. aslr? nicht vollständig, erst mit v13. dep immernoch n problem? weiss ich im moment nicht). Ich bilde mich ja gerne weiter aber nur platte sprüche bringen wie du es machst ist ziemlich schwach....
 
@0711: Du verwendest oben ein eindeutig beweißlos angewendetes: Es DÜRFTE so sein (du vermutest also nur). Auch mit und nach weiteren Beiträgen darf das so stehen bleiben. Viel weiter unten verdrehst du das ganze sogar noch dermaßen, das gefälligst ich dir die(se) Kohlen aus dem Feuer zu holen habe. Ich habe da nach bzw. gegen zu beweisen ? Und das gegen etwas unsichtbares, was du meintest oben bestenfalls andeuten zu müssen ? sorry aber: durchschaubare und damit umgehbare Taktik von dir. Was ist für dich eigentlich der perfekte Browser ? Das Ding, mit dem man auch die suspektesten Webseiten betreten kann, ohne sich fragen zu müssen, wieso man das wohl macht/riskiert ? Nurnoch das vor Folgen geschützt zu werden ist wichtig ? Sehe ich auch so, denn meine Ausstattungs und Nutzungsart des FF hat mich bisher einwandfrei geschützt.
 
@DerTigga: ich hab dir doch geschrieben was andere browser in sachen sicherheit überlegen macht (prammtechnische sicherheit die z.B. durch sandboxing oder aslr oder oder oder realisiert wird). Ich hab auch keinen beweis oder sonstiges "gefordert" sondern darum gebeten dass du eventuell eben eine gegendarstellung bringst die z.B. den ff den anderen aus sicherheitssicht überlegen macht und uns alle an deinem wissen teilnhaben lässt aber was machst du? Weiter platte sprüche klopfen...also gehe ich einfach mal von aus dass du keine ahnung hast von was du da schreibst. Den perfekten browser gibt es nicht da eben immer ein kompromiss zwischen security und usability gegangen werden muss....
 
warum nutzen dann laut dieser statistik http://www.browser-statistik.de/
mehr den ff?
 
@snoop-snoop: Weil der Großteil der Deutschen durch die Bild, Chip, etc Propaganda Firefox gewöhnt sind? Jeder kann halt nutzen was er/sie will. Und außerdem ist kein Browser sicherer als ein anderer. Alle haben ihre Schwächen und Sicherheitslücken. Es gibt keinen 100% sicheren Browser/Software.
 
keeer.... auch wenn ich mit nem Motteg langegenug auf nen Bunker einprügel werde ich (irgendwann mal) drinne sein.
 
Internet Explorer geknackt? Ach Kinderz, was bitteschön soll daran denn neu sein? Das passiert Tag für Tag seit Jahren auf der ganzen Welt. In China ist übrigens auch gerade wieder mal ein Reissack umgefallen.
Kommentar abgeben Netiquette beachten!
Einloggen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles