IE: Aktuelle Schwachstelle wird bereits ausgenutzt

Eine seit Mitte September bekannte Zero-Day-Schwachstelle (CVE-2013-3893), für die es bisher nur einen Fix-It-Notfall-Patch gibt, wird bereits von einschlägigen Kreisen ausgenutzt, sie wurde nun in das Metasploit-Projekt aufgenommen. mehr... Microsoft, Browser, Internet Explorer, Internet Explorer 10, IE10 Bildquelle: Microsoft Microsoft, Internet Explorer, Internet Explorer 9, Ie, Ie9 Microsoft, Internet Explorer, Internet Explorer 9, Ie, Ie9 Microsoft

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Wie kommen die Leute auf diesen ganzen Kombinationen? Ich kann mir die Arbeit eines Hackers bzw. Patchers kaum vorstellen, aber ich denke, dass da viel mit "auf gut Glück" gearbeitet wird?
 
@hhgs: Im grunde werden erstmal alle Ports gescannt, dann nachgeschaut, welche Programme auf diesen Ports laufen, dann bekannte Sicherheitslücken ausprobiert, dann die Programme überlastet, mal sehen was passiert. Dann wird gezieht nach neuen Lücken gesucht, das kann aber ne Weile dauern.
 
@shriker: Diese Lücke hier hat jetzt aber nix mit Ports zu tun...
 
@R-S: Gut, bei diesem hier, wird man entweder mit einer Email auf einen Seite gelockt oder man manipuliert sein DNS. Dann lässt man per Javascript sein Code laden.
 
@shriker:

Das stellst Du dir aber ein wenig zu einfach vor.
 
@Lessi: Nein tue ich nicht, ein falsch eingestellter FTP-Server, der Zugriff auf das www-root hat reicht schon meistens.
 
@hhgs: Wen's interessiert, ganz grob, eine Möglichkeit wäre: Man füttert ein Programm mit externen Daten die zu unerwarteten Verhalten führen(Zugriffsverletzungen, Exceptions, Jumps). Mit einem Debugger kann man sich recht leicht im voraus anschauen wie ein Programm auf bestimmte Daten reagiert (welche Anweisungen es ausführt und Fehler in diesem Vorgehen suchen), und sich so langsam ran tasten. Man kann sich die Gegebenheiten oder Folgen von "Fehlerverhalten" oft zu nutze machen um ein Programm dazu zu bringen etwas ganz anderes zu tun.
 
Warum kann man eine Lücke über ein "Fix it" schließen und nicht über das normale Windows Update?
Und warum erscheint bei mir in der Taskleiste keine Sicherheitsmeldung, dass Internet Explorer eine Lücke hat und diese geschlossen werden muss.
Wieso muss ich das erst über winfuture.de oder chip.de erfahren, dass es eine Lücke gibt und diese nur über ein "Fix it" behoben werden kann?
Ist es zu viel verlangt ein kleines Windows Update zu bringen oder den User darauf hinzuweisen, dass es eine Lücke gibt? Oder ist es technisch mit viel Aufwand verbunden?
 
@emre90: nicht mal Secunia PSI meldet ein Problem :-(
 
@emre90: wieso werden solche lücken nicht direkt geschlossen und wieso lässt man das update nicht über ein silent update wie z.b. in chrome laufen, sondern über windows update? das updateverhalten vom ie auch hinsichtlich neuer versionen auf verschiendenen windows versionen, ist einfach ***
 
@Mezo: Da die Patches erst mal in mehreren Softwarekombinationen (auch mit Drittanbietersoftware) getestet werden müssen. Deswegen dauert es bei Windows und den IE länger als zum Beispiel bei Chrome oder Firefox (beides sind komplett eigenständige Programme, daher müssen die Patches auch nicht so lange getestet werden). Die Microsoft Programme gehören zu den komplexesten Software der Welt.
 
@emre90: das Fix-IT deaktiviert nur IE Funktionen die man normalerweise haben will. Trotzdem sollte MS in so einem Fall in die Pötte kommen und das Update schnellstmöglich ausliefern und nicht warten bis zum nächsten Patchday.
 
@emre90: Warum nutzt du denn überhaupt den IE wenn Sicherheit und zeitnahe Updates für dich wichtig sind?
 
@Sapo: Der IE ist in puncto Sicherheit vorne dabei und ist dank protected mode sowie unter Windows 8 dem enhanced protected mode sogar sicherer als die Konkurrenz. Dementsprechend liest man auch nichts davon, dass die Lücke beim IE 10 und 11 bereits ausgenutzt wird. Selbst wenn ein Angreifer die komplette Kontrolle über den Browser übernimmt kann er dann nämlich nichts Schlimmes damit anstellen. Prinzipiell kann man in der Standardeinstellung des IE11 so sorglos surfen wie mit dem IE auf einem Windows Phone. Man sollte es zwar dennoch nicht drauf anlegen, aber die neuesten IEs laufen eben in einer in System fest implementierten Sandbox.
 
@Sapo: Warum nutzt man Chrome oder Firefox, obwohl sie auch nicht wirklich sicherer sind? Jede Software kann/hat schwere Lücken. Es gibt überhaupt keine Fehlerfreie und sichere Software (auch nicht bei OpenSource).
 
@eragon1992: Klar tauchen bei den Anderen auch gelegentlich Lücken auf. Allerdings werden diese direkt geschlossen. Bei MS muss man auf den Patchday warten oder man erfährt es hier einfach so, dass es nur einen Notfallfix gibt. Der normale User erfährt davon nichts und sein System ist solange gefährdet bis der fix über die Updates zu erhalten sind. Es ist Microsofts Updatepolitik die den IE so unsicher macht.
 
@Sapo: Wie ich oben schon schrieb. Müssen die Updates vom IE und anderen kritischen Systembestandteile erstmal richtig und lange getestet werden, da auch andere Software von ihnen (stark) abhängig sind. Es ist ja logisch, dass die ganzen Drittanbieter ihre Patches sofort rauswerfen können, da sie nicht viel Rücksicht auf Drittanbieter nehmen müssen. Sicherheitsupdates zu schnell zu veröffentlichen ist auch nicht immer gut, da sie auch oft weitere Lücken in das System reißen können.
 
nicht rumbarmen, windows 8 kaufen, und ihr habt keine probleme mehr *megagrins*
 
@snoopi: Klar, doch! Um Probleme seines bereits erworbenen Systems zu beheben, einfach noch ein neues System dazukaufen.
Wird sicher MS gefallen, wenn das alle so machen. Ist aber Verarsche am Kunden. Der hat erstmal Recht auf Support. MS soll ruhig für den Mist, den sie verbockt haben - nämlich den grundsätzlichen Fehler, den Browser so tief ins Betriebssystem zu integrieren - geradestehen. Win8 hat neue Lücken. Das wird sich schon noch zeigen.
 
@hhf: das ist ja die ganze zeit mein reden, warum endlos das betriebssystem sauber machen wenn es doch mit verdienen besser geht, also support einstellen und auf ein neues verweisen.
Kommentar abgeben Netiquette beachten!