Lücke: US-Heimatschutz warnt vor Internet Explorer

Das amerikanische Heimatschutzministerium hat wegen der jüngst aufgetretenen schweren Sicherheitslücke im Internet Explorer von Microsoft davor gewarnt, den Browser weiterhin einzusetzen. Besonders Nutzer von Windows XP sollten den IE meiden, hieß ... mehr... Microsoft Patch Day, Windows Logo, Pflaster Bildquelle: PC Games Patch-Day, Microsoft Patch Day, Windows Logo, Pflaster Patch-Day, Microsoft Patch Day, Windows Logo, Pflaster PC Games

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Was für ein riesentheater...
 
Das Dumme ist nur, dass mit aktiviertem EMET gerade das Internet und Outlook nur noch sehr zähflüssig abläuft. Spiegel-Online benötigt die 100-Fache Zeit zum laden, da hier jede einzelne Werbeeinblendung (und davon hat gerade SPON extrem viele) scheinbar einzeln untersucht und gesteuert werden. Ohne EMET ca. 1 sec, mit EMET ca. 2 Minuten

Der Aufbau einer HTML Mail eines Versenders wie Alternate.de oder hardwareversand.de benötigt drei Tassen Kaffee

Alles gemessen mit einer synchronen 100 Mbit Anbindung ans Internet auf einer niegel-nagel-neuen Windows 8.1U1 Workstation mit Intel Xeon CPU und 32 GB RAM.

Wie mag es da auf neuen Geiz-ist-Geil PCs aussehen?

Nein, EMET ist was für Entscheidungsträger in Firmen, die ihre Mitarbeiter im Internet recherchieren lassen und ihre Mails lesen lassen und zu 95% nur im Intranet daheim sind.

Spaßeshalber EMET Version 4.1 mal auf einem virtualisierten Desktop installiert, der auf einem Hyper-V von W2K2012R2U1 installiert ist. Nicht mehr benutzbar.

Da es sich um eine Drive-By Schadware handelt, und Niemand weiß, welche Seiten und vor allem welche Werbeeinblendungen im Internet hiervon betroffen sind, bleibt nur noch die Option der Installation eines anderen Browsers.

Der wird wohl auch ähnliche Sicherheitslücken aufweisen, aber diese sind bis dato unbekannt.

Was ich nicht weiß, macht mich nicht heiß.

Sicherheit geht irgendwie anders, denke ich mal.

G.-J.
 
@Gajus-Julius: ja, das weiß doch jedes kind, wozu der microsoft internet explorer gut ist: zum download eines besseren browsers. danach wird der IE nicht mehr angerührt.
 
@stereodolby: Der IE mit seinem Stufenmodell hat gewisse Vorzüge, was Sicherheit angeht, wenn man das Stufenmodell konsequent nutzt.

Das Problem sind die automatisierten Werbeeinblendungen, ohne die heute kaum ein Inhalteanbieter auskommt. Lege ich einen vertrauensvoll erscheinenden Anbieter in die Zone Vertrauensvoll, kann ich bei der falschen Werbeeinblendung doch auf die Schnauze fallen.

Daher liegen bei mir nur noch Anbieter ohne jede Werbung im vertrauensvollen Bereich. Also Firmenangebote wie Microsoft, Oracle, IBM, meine Banken und Versicherungen sowie staatliche Behörden in Deutschland. Alles andere in der normalen Internet-Zone, und deren Sicherheitsstufe ist auf hoch gestellt.

Chrome und andere Browser haben diese Einstufungsmöglichkeit nicht. Da muss ich für alle Inhalteanbieter die höchstmögliche Sicherheit einstellen. Damit ginge bei mir schon gar kein online Banking mehr.

G.-J.
 
@Gajus-Julius: gerade mit dem genannten os ist der Workaround bedeutend simpler sowie mit deutlich geringerem einfluss auf die performance und auch problemlos per gpo auszurollen. https://technet.microsoft.com/en-US/library/security/2963983 "Enable Enhanced Protected Mode For Internet Explorer 11 and Enable 64-bit Processes for Enhanced Protected Mode " ... das verkraftet auch der geiz ist geil pc
 
@0711: Ja, wenn ich beim EMT nur diese beiden Features einschalte, habe ich gleiches Ergebnis. Aber EMT geht ja viel weiter, so wird z.B. der RAM Speicher willkürlich verwürfelt, damit die Einsprungsadressen nicht leicht erraten werden können. Ein sehr sinnvolles Features, nur leider völlig kontraproduktiv, wenn man Bilder ansehen will, oder gar Videos anschauen möchte. Dann hast Du frameraten von 4 Frames pro Minute.....

G.-J.
 
@Gajus-Julius: natürlich bietet emt weitergehenden schutz aber für die lücke reicht ja auch weit weniger ;)
 
@Gajus-Julius: kann ich hier nicht nachvollziehen. Wir setzen EMET 4.0 auf allen Clients ein und die Mehrzahl der User nutzt den IE. Das sind Maschinen in Richtung Core 2 Duo mit 4 GB und Windows 7, also keine aktuelle Hardware. Ich merk da keine Probleme beim Seitenaufbau, keine Verzögerungen. Wieso auch? EMET scannt keine Webseiten oder Programme wie ein Virenscanner. Eine Werbeeinblendung oder hunderte sollten relativ egal sein, solange nicht für jede Einblendung wieder ein neues Programm geladen wird. Alles andere als Programme interessiert EMET ja eh nicht, d.h. weder Webseiten noch Bilder oder ähnliches. Ich nehme eher an, dass bei dir irgendeine andere Software Amok läuft. Anderer Virenscanner im Hintergrund?
 
@der_ingo: Alle Hardware befindet sich hinter einer zentralen Hardwarefirewall der Firma Cisco. Separate Server besorgen das zentrale Schadwaremanagement. Auf den Clients und auf den Betriebsservern sind keinerlei Schadwarewächter mehr installiert. (Firmenumgebung, zertifiziert nach ISO 9001 u.a.)

Alle Clients haben aber ihre Nutzerprofile auf Servern liegen, und diese werden von den Schadwareservern rund um die Uhr kontrolliert.

Wir haben auf vielen Linux und HP-Unix Clients zusätzlich eine ähnliche Schutzsoftware von HP getestet. Die hatte bei den *nix Clients übrigens den gleichen Effekt wie EMT. Unsere Architekturabteilung lief Amok, Niemand konnte mehr vernünftig seine Aufbauten designen.

Vielleicht liegt es wirklich an den Servern, welche das zentrale Schadwaremanagement betreiben.

G.-J.
 
@Gajus-Julius: hast du dazu mal einen Thread im EMET Forum eröffnet? Die zusätzliche Schutzwirkung von EMET war zumindest mir hier etwas Arbeitszeit wert - so kann ich mich jetzt bei vielen kleineren Lücken beruhigt zurücklehnen und auf einen Patch warten, ohne irgendwelche Panik zu bekommen. Die Speicherverwürfelung aka ASLR wird von neueren Windows Versionen übrigens standardmäßig genutzt, das ist an sich kein EMET Feature. EMET aktiviert es nur für Programme, die es normalerweise nicht nutzen können. Bei den geringen Latenzen von Speicher sollte es auch dort keinen Unterschied machen, ob die Werte im Speicher nun direkt hintereinander stehen oder verwürfelt. Wie gesagt, du magst da deine Erfahrungen gemacht haben, aber logisch ist das eigentlich nicht nachvollziehbar.
 
"Aktuell gebe es keine "praktische Lösung", mit der die Schwachstelle ausgeschaltet werden könne, so das CERT am Institut für Software-Engineering der Carnegie Mellon Universität. " und was ist mit dem offiziellen Workaround für ie 10+11? oder den für 8,9,10,11?https://technet.microsoft.com/en-US/library/security/2963983
 
@0711: Der ist wahrscheinlich für den Popo.
 
@doubledown: tja...mit einem Problem, die funktionieren
 
Windows XP Nutzer sollten generell auf den Internet Explorer verzichten und alternativ einen anderen Browser wählen, wie z.B. Firefox, Chrome, etc., da der Internet Explorer bei Windows XP keine SSL-Seiten anzeigen kann, die mit SNI/SSL Verschlüsselung bzw. Zertifikat ausgestattet sind. Siehe https://framoe.net
Kommentar abgeben Netiquette beachten!