Microsoft kommentiert neue Sicherheitslücke im IE

@baze: "Dies kann ausgenutzt werden, um den Anwender auf eine schadhafte Internetseite zu führen oder um direkt beliebigen Code auszuführen." Das IST eine Sicherheitslücke, würde ich sagen...

@Potty: ... was aber offenbar von Microsoft so noch nicht bestätigt wurde da die Untersuchungen ja derzeit noch laufen. Wenn die Lücke wirklich kritisch ist wird es an Abschluss der Untersuchungen sicherlich ein Security Advisory mit detailierteren Informationen geben.

niemand hat irgendwas bestritten .

@ [U]nixchecker: hehe

@[U]nixchecker: Deine Aussage ist falsch wie sich anhand vergangener Security Advisories auch nachvollziehen lässt.

@swissboy: Es ist aber bekannt, daß Microsoft bei der Bewertung der Schwere solcher Lücken arg wenig Kompetent aufweist. Die können einen Non-Initialized NullPointer nicht von einem Boundary Error unterscheiden.

@baze: swissboy, darf ich jetzt lachen, ich kann mich super an einige News erinnern in denen es hieß, Microsoft stuff das Problem als nicht gravierend ein und ne Woche später gabs den Exploit und dann erst stufte Microsoft die Dringlichkeit hoch, oder einmal als Microsoft den Fehler nicht nachvollziehen konnte und dann zwei Wochen später doch auf einmal eingestehen musste, dass es ein Loch ist. Swissboy, du bist ein alter Dummschwätzer.

@[U]nixchecker: Es ist ganz logisch das Microsoft die Dringlichkeit hochstuft sobald ein Exploit auftaucht. Das ändert aber nichts daran das was du in [re:3] geschrieben hast unwahr ist.

Du ignorierst den Kontext: Microsoft hat behauptet, daß die Lücke nur zum Absturz taugt, während der Entdecker der Lücke behauptete, daß man damit auch Code ausführen könnte, was unmittelbar in der Natur der Lücke begründet ist (Boundary Error durch Race-Condition). Erst als er einen Exploit geschrieben hat, haben sie auch anerkannt, daß man damit wirklich Code ausführen kann.

@Rika: [U]nixchecker hatte geschrieben "immer" und das ist nachweislich eine falsche Aussage.

@baze: Auch ein möglicher DoS-Angriff ist eine SICHERHEITSlücke, ja. Es kann nämlich Schaden entstehen... (stell dir einfach mal vor, man könnte mit ner DoS-Attacke mal eben geschwind die Amazon-Webserver abschiessen - das würde einen grossen Verlust für Amazon in der Down-Zeit bedeuten.)

@vanda21: Ich kann dieser News hier nirgends entnehmen das Microsoft die Lücke nicht schliessen will. Im Gegenteil, Microsoft hat ja bereits bestätigt das ein Problem besteht, nur sind eben die Untersuchungen dazu im Moment noch nicht abgeschlossen und deshalb auch noch keine Informationen über das weitere Vorgehen verfügbar.

@vanda21: Eine Verbindung dieser (oder anderer aktueller) Sicherheitslücken mit dem Erscheinungstermin von Windows Vista zu konstruieren entbehrt jeder Grundlage. Das immer wieder neue Sicherheitslücken entdeckt werden und geschlossen werden müssen ist (leider) das "tägliche Brot" eines Softwareherstellers, nicht nur bei Microsoft. Die hat bei der Festlegung des Erscheinungstermins für Windows Vista sicher keine Rolle gespielt. Ausserdem ist Windows Vista nicht das eigentliche Newsthema hier.  PS: Bitte in Zukunft die Antwortfunktion (blauer Pfeil) benutzen.

@mr.return: ... das heisst ganz einfach das durch Michal Zalewski und Secunia bisher nur diese Konfiguration ausgetestet wurde.

@Sebastian2: Nein, es heisst nur das Microsoft im Moment abklärt in welcher Form und wie schnell reagiert werden muss. Dies kann z.B. bedeuten das es vorab ein Security Advisory mit möglichen Workarounds geben wird.

Ändert nichts an meiner aussage.

außerdem ist in meinen augen jeder bug wichtig.

@Sebastian2: Wenn Microsoft die Sicherheitslücke hier nicht ernst nehmen bzw. als wichtig erachten würde, hätten sie nicht bereits mit einer öffentliche Bekanntmachung über die Mailingliste "Full-Disclosure" reagiert.

wenn sie die lücke ernst nehmen würden würden sie nicht recherchieren wie gefährlich sie ist. sondern sich gleich ans werk machen und sie so schnell wie mögich zu fixen.

Das zeichnet für mich sicherheit aus und nicht ewiges warten auf patches.

aber egal. is mir ehrlich gesagt egal.

@Sebastian2: Hi, also manchmal frage ich mich wirklich, ob hier einige Leute jemals mit anderer Software zu tun gehabt haben??? Denkt ihr denn, dass es bei DB2, Oracle, IBM, Lotus Notes etc. keine Sicherheitslücken gibt? Dass da nicht gepatcht wird? Von den ***ix-Systemen will ich hier gar nicht reden, auch nicht von Mainframes, aber auch dort gibt es immer wieder Lücken, die zum Teil hochkritisch und gravierend sind. Das wird aber nie so hochgespielt, wie bei Microsoft. Und für mein Empfinden hat MS in den letzen ein, zwei Jahren beim Patchen ganz schön zugelegt und macht da mittlerweile einen ordentlichen Job. Zeigt mir eine Software, egal ob von Macromedia, Adobe, Symantec und wie sie alle heißen, die 100% lückenlos und sicher ist... Na, eben, gibt es nicht. Also, warum nicht das akzeptieren. Wenn ich schon mit diesem BS arbeite (und das tue ich schon seit 15 Jahren), dann sollte man sich eben auch ein bissel auskennen und das auch respektieren, was da die letzten Jahre gelaufen ist. Win 3.11, 95, 98, dann 2000, das war ein großer Wurf (alles IMO), XP kam und kommt richtig gut und auf Vista freue ich mich auch schon. Und, ehrlich, eine richtige Viren-, Trojaner- oder sonstige Attacke habe ich bis heute nicht gehabt. Ein vernünftiger Umgang mit dem BS, etwas Vorsicht hier und da, ein aktueller Virenscanner, eine Firewall die ein bissel was taugt und dann klappt das schon - oder denkt ihr ehrlich bei den anderen läuft das anders??? Ich denke, ich weiß wovon ich spreche.

@DioGenes: das ist so vollkommen richtig und dem ist nichts weiter hinzuzufügen, es entspricht so auch meiner nun bald 35 jährigen Erfahrung in der Datenverarbeitung als beruflicher und privater Anwender. Es bringt oft auch nichts hier mit MS-Kritikern sachlich zu diskutieren, weil es oft nicht um die Sache (Win,XP,IE usw.) geht sondern um MS als solches ( MS gleich Mist). Da lohnt es sich oft nicht in eine Diskussion einzusteigen. Man kann gewisse Dinge bei MS gewiss kritisch sehen (Geschäftspolitik, Umgang mit Prgrammen / Programm-Fehlern usw.), nur dies trifft in aller Regel auf andere Firmen genauso zu.

@ uechel: Da hast du recht. Richtig gut wird ein Produkt erst, wenn es anständige Konkurenz gibt. Bestes Beispiel ist wohl die Autoindustrie. Die Hochwertigen Autos kommen immer erst dann, wenn die Konkurenz Vergleichsfahrzeuge produziert.

@baze: auf den Tag wartetst Du wohl vergebens , weil seine Meinung so gut und so berechtigt ist wie jede andere und in der Regel von ihm sachlich begründet wird. Man muss sie nicht immer teilen, aber besser als pauschale persönliche Defamierung wie "... ich warte immer noch auf den tag an dem swissboy gesperrt wird..." ist das alle mal.

@uechel: Muss dir absolut recht geben. Ich verstehe ehrlich auch gesagt nicht das Problem, wenn jemand die Kommentare von swissboy nicht mag, warum kann er sie dann nicht einfach überlesen?

@spreemaus: Das ist doch blödsinn was du da schreibst!Auch andere Browser haben Sicherheitslücken!!!Oder sind das auch unseriöse Läden

Ich bestreite das auftreten von Sicherheitslücken in anderen Browsern ja garnicht. Aber Microsoft braucht mit zu lange zum Patchen. Außerdem ist der IE sowieso Schrott, darüber muss man sich nicht mehr streiten, der wird als Altlast mitgetragen, weil es derzeit nichts anderes von Microsoft gibt. Ausser ihren Betabrowser 7.

@spreemaus: Da gebe ich dir nun recht!!!!

@spreemaus:
was für ein betriebssystem hast du......