Wieder ungepatchte Lücke im Internet Explorer

Die Sicherheitsexperten von Secunia haben eine Sicherheitslücke im Internet Explorer entdeckt, für die bisher noch kein Patch von Microsoft zur Verfügung steht. Bisher ist sie nur für Windows XP mit Service Pack 2 bestätigt wurden. mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben

[o1] am ++--1

Naja nicht sonderlich kritisch aber behebenswert... lustiger ist eher der aktuelle Stand an ungepatchten Lücken... von den letzten 9 Lücken ist erst eine gepatcht... von den 6 Lücken diesen Jahres ist noch gar keine gepatcht. Langsam aber sicher lohnt sicher wieder ein ServicePack für den IE. Würde man dort wie bei normalen Projekten üblich Minor und Bugfixreleases bringen hätte der IE eine sehr interessante Versionsangabe.

[re:1] am ++--

@Chuck: die wahrscheinlich mindestens einen 19"-Monitor voraussetzt :-)

[o2] am ++--

wenn nicht so viel rumgeschrien würde, welche Sicherheitslücken es nun schon wieder beim IE gibt, und wie sie sie auszunutzen sind.
Würde sie ja logischerweise nicht relevant sein, da ja keiner davon wüsste. Und bis irgend ein anderer dahinter kommt, ist sie könnte sie längst gepatcht sein. (siehe Linux-Stradegie)
Aber so.....?! ist es ja im Grunde eine Aufforderung zum ausnutzen der besagten Lücke.

[re:1] am ++--

@niecheck: Ähm... (1) Wenn nicht gebrüllt wird sehen sich viele Firmen nicht veranlasst etwas zu unternehmen. (2) Bei Linux wird sehr viel geschrien und immer ein oC und oft auch Exploits mitgeliefert.

[re:2] am ++--

@chuck: das ist schon war! Bei Opensource-Geschichten hängt es nur keiner an die große Glocke.
Kann ja auch alles im Stillen geschehen. Den Patch macht ja eh nur MS. Es kann ja dann ausgetragen werden, wenn der Patch schon fertig ist.
Wäre das nicht besser für beide Seiten? MS und den Verbrauchern?!

[re:3] am ++--

@niecheck: Es hängt in allen Mailinglisten und BugTrackern an der grossen Glocke. Das z.B. WinFuture darüber nicht berichtet auch wenn es öffentlich zugänglich ist ist eher deren Schuld. Zu der Frage was besser ist... MS hat in der Vergangenheit bei sehr sehr vielen Lücken die so 'seriös' behandelt wurden nicht reagiert und sich extrem viel Zeit gelassen oder Lücken sogar tot geschwiegen... das ist für MS sicher gut... für den Verbraucher auf keinen Fall... denn die Lücke besteht auch wenn MS sie tot schweigt.

[re:4] am ++--

@niecheck: "Würde sie ja logischerweise nicht relevant sein, da ja keiner davon wüsste." Wenn keiner eine Lücke wüsste, würde auch keine Lücke exestieren (obwohl die Existenz einer Lücke nicht ausgeschlossen ist). Und auch für dich, eine Lücke, egal wie schwerwiegend stellt ein Sicherheitsrisiko dar. Dabei ist egal welchen Hersteller/Programme es betrifft. Ich unterstelle dir jetzt Blauäugigkeit und Unwissenheit. "ist es ja im Grunde eine Aufforderung zum ausnutzen der besagten Lücke." Nein, sowas nennt man Informieren über mögl. Angriffspunkte im/am System. Wer freiwillig mit einem unsicheren System arbeitet und sich im Netzwerk befindet handelt grobfahrlässig.

[o3] am ++--

passt nun nicht direkt, aber: wenn ich auf http://secunia.com/product/ gehe, dann hängt sich mein Firefox 1.5 auf. Passiert das bei euch auch?

[re:1] am ++--1

@andreasm: Wenn du diesen URL ohne weitere Angabe öffnest öffnet sich die komplette Liste aller Produkte die bei secunia gelistet sind. Fx 1.5 unter Linux macht indes keine Zicken.

[re:2] am ++--

@andreasm: Nö, keine Probleme beim Laden der Seite...

[re:3] am ++--

danke füs testen! Scheint wohl ein Bug in meinem FF zu sein, da er auch im safemode hängt.

[re:4] am ++--

@andreasm: Was für ein Modus? Bei mir hängt sich FF nicht auf. Ich kann mit dem IE gar nicht mehr ins Internet. Der ist kastriert und blockiert, wo es nur so geht! :)

[o4] am ++--

Eingebettete Webinhalte sind beim IE grundsätzlich eine Sicherheitslücke, egal ob das Flash nun eine weitere Macke hat oder nicht.

[o5] am ++--

nutze schon seit Jahren Mozilla/Seamonkey Suite,ohne Probleme! :-)

[re:1] am ++--

... nutze schon seit Jahren den IE, ohne Probleme! :-)

[re:2] am ++--2

@swissboy: Es soll auch Leute geben die seit Jahren ohne Verhütung durch Thailand vögeln und noch immer leben... klüger macht sie das dennoch nicht. No Risk No Fun bei Sicherheit... Einstein hatte recht was die menschliche Dummheit angeht... :)

[o6] am ++--

Die Lücke könnte im schlimmsten Falle höchstens für Phishing ausgenutzt werden. Allerdings frage ich mich welche relevanten Webseiten von Banken etc. auf diesen Flash-Dateien für wichtige Informationen einsetzen. Ein Szenario wie diese Lücke in der Praxis wirklich für Phishing ausgenutzt werden kann ist wohl nur recht schwer zu konstruieren, deshalb wird sie von Secunia ja auch mit "Less critical" beurteilt.

Bearbeitet am 04.04.06 um 18:59 Uhr.

[re:1] am ++--

Vielleicht liegt's auch einfach daran, daß Phishing beim IE genau gar nix besonderes ist? Es ist ein Designfeature.

[re:2] am ++--

Beim Phishing gehört immer User Dummheit dazu, egal wechen Browser man benutzt. Oder Patchen jetzt die Alternativen das auch schon? :-))

Bearbeitet am 04.04.06 um 21:48 Uhr.

[re:3] am ++--1

@swissboy: Ähm... News gelesen? Weiterführende Links gelesen? Genau das was du beschribst steht bei Secunia... geringes Risiko und Phishing als Angriffsart. Es gibt davon abgesehen aber sehr sehr viele Flash Portale die auch über bezahlte Accounts etc laufen. Hier sich einnisten und an Userdaten kommen dürfte mit so einer Lücke ein leichtes sein. Es muss nicht immer die Bank sein, es gibt genug andere Informationen von Usern die wertvoll sein können.