IE-Bugs gefährdet Surfer !

#0
23.06.2004, 21:53
Member

Beiträge: 3306
#16 1. Das der IE auf dem Rechner einen Dienst installiert der von außen ansprechbar ist, soll jetzt aber ein Scherz sein oder? Wenn ich den IE nicht starte kommuniziert der nirgendwohin. Erst wenn ich mich mit ihm auf einen Server verbinde, kann irgendeine Lücke ausgenutzt werden.

2. Firefox und Co. "kapieren" die Windowsupdate-Seiten nicht, sondern Microsoft nutzt dafür ihre proprietäre, und natürlich unsichere, ActiveX-Technologie. Alternativen wären das automatische Windows-Update von 2000/XP oder die Patches einzeln herunterzuladen. Microsoft will nicht das irgendjemand nicht den IE verwendet und erstellen ihre Seiten deshalb so das sie nur im IE richtig funktionieren.

3. Wird eine Lücke öffentlich dokumentiert wird sie um so gefährlicher. Jeder weiß nun das diese Lücke existiert und oft existiert eben kein rechtzeitiger Patch von Microsoft. Dokumentierte Lücke != gepatchte Lücke. Die Vergangenheit hat deutlich gezeigt das viele IE-Lücken nicht oder erst nach sehr langer Zeit behoben werden.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.
Seitenanfang Seitenende
23.06.2004, 23:04
Member

Beiträge: 39
#17 Ich verfolge das hier mit großem Interesse.
Auf Grund der vermutlich immens hohen Anzahl von -u.a durch den IE - kompromitierten Win32-Systemen und der zuletzt bekanntgeowrdenen gravierenden Mängeln im IE, stellt sich die dringende Frage nach Alternativen.

Diese sind augenscheinlich vorhanden und wie Smithi richtig bemerkt, sind auch diese nicht fehlerfrei.
Jedoch ist dies in meinen Augen kein Argument auf der derzeit vermutlichen schlechtesten Alternative, dem IE, zu beharren.
Die Argumentation, das mit 2 oder mehreren Browsern auf dem System das Risiko steigt ist für mich nicht nachvollziehbar, bzw. falsch. Wie soll eine schädliches ActiveX sich auf mein System auswirken, wenn nicht durch den IE ?
Wie soll sich ein für den IE betimmtes URL-Spoofing auf mein System auswirken, wenn ich es nicht mit dem IE aufrufe ?

Zitat

....Erklärung ist hierfür welcher Hacker kennt schon so ein Noname Produkt!?
Ist doch prima ! ;) und....das macht den InternetExplorer nicht besser und mindert nicht die Gefahren, die nunmal mit seiner Verwendung verbunden sind.

Well, ich warte auf den ersten Hilferuf samt Hijack-Log eines Mozilla/Firefox-Surfers ;). Vielleicht wird aus Firefox noch mal der "Firefix"...bleibt abzuwarten.
Dieser Beitrag wurde am 23.06.2004 um 23:06 Uhr von Pfutzke editiert.
Seitenanfang Seitenende
24.06.2004, 12:44
Member
Avatar Xeper

Beiträge: 5289
#18

Zitat

....Erklärung ist hierfür welcher Hacker kennt schon so ein Noname Produkt!?
Vermutlich Jeder. Aber niemand wird der open-source Welt schaden wollen.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
24.06.2004, 17:57
Moderator
Themenstarter
Avatar joschi

Beiträge: 6466
#19

Zitat

Aber niemand wird der open-source Welt schaden wollen
Meiner Meinung nach gibt es sehr wohl Parteien, die jede Browserschwachstelle nutzen würden, um Malware auf einem Rechner unterzubringen. Sei es aus rücksichtsloser Profitgier oder nicht.
Natürlich bieten ActiveX und Active Scripting, wie es von MS eingesetzt wird, hier ein leichtes Fressen.
Und nicht jedes unbekanntere (..nennen wirs es "Noname") Produkt = open-Source ;).
Dies nur zur Differenzierung.
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
24.06.2004, 20:39
Member

Beiträge: 1516
#20 Ich kann auch nur ein Browserwechsel empfehlen. Alle Bekannten die endlich gewechselt haben sind zufrieden. Außerdem haben sie deutlich weniger Probleme mit Malware&Co. Ich selbst habe noch keine verbreiteten Exploits für Opera/Mozilla gesehen.

@ Smithi war doch ein Witz oder?
Weil deine Argumentation enthält ziemlich viele Fehler. Ich glaub ich möchte auch in deiner Firma arbeiten :>
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}
Seitenanfang Seitenende
24.06.2004, 21:12
Member

Beiträge: 337
#21 @Xeper

Zitat

Vermutlich Jeder. Aber niemand wird der open-source Welt schaden wollen.
Das glaube ich eher weniger. Da der IE der wohl am meisten genutzte Browser auf der Welt ist, ist er geradezu als Angriffsobjekt prädestiniert. Auf weniger verbreitete Browse lohnt sich ein Angriff einfach nicht, da das m.E. viel zu viel Aufwand bei viel zu wenig Effektivität bedeuten würde. Keinesfalls glaube ich jedoch, daß solche Leute Rücksichten auf überhhaupt irgend etwas nehmen, auch nicht auf die open-source Welt, allein schon weil die kriminelle Energie dieser Leute enorm hoch ist. Sie handeln meist in verbrecherischer Absicht, aus Profitgier.

Wäre eines der Produkte 'Mozilla, Opera, etc.' der verbreitetste Browser, sähe bei diesen die Sache vielleicht auch nicht viel besser aus als mit dem IE. Nur dass das Kompromitieren der Open Source Produkte wesentlich schwieriger sein dürfte. Der Code dieser Produkte ist öffentlich und jeder, der an der Entwiclung Beteiligten, ist daran interessiert das Produkt so funktional und so sicher wie möglich zu gestalten. Weltweit arbeiten sehr viele Leute daran, rund um die Uhr so zu sagen, die Funktionalität und Sicherheit des Open Source Produkts zu verbessern. Es arbeiten mehr Leute an diesen Produkten als irgendeine Firma sich je leisten können wird.

Das jedenfalls ist meine Meinung dazu.

Meine Wahl steht jedenfalls fest. Ich habe mich für die Nutzung Mozillas entschieden und dem IE, da er sich nun einmal nicht deinstallieren lässt, mittels Firewall die Flügel soweit gestutzt, daß er nur noch für das MS Online-Updating, bzw. zum Aufruf der entspechenden MS Seiten, zu gebrauchen ist. Sämtliche ankommenden Verbingungsversuche zum IE werden geblockt, ebenso wie die abgehenden, die nicht zu einem der freigegebenen MS Server gehen. Windows Online Update ist also immer noch voll funktionsfähig und funktioniert wie gehabt. Sämtliche IE-Aktionen werden protokolliert.

Spricht was dagegen ?

Cascade
__________
Der Pessimist sagt: "Schlimmer, als es jetzt ist, kann es nicht kommen." Der Optimist sagt: "Doch, es kann ..."
Ich bin sehr optimistisch, was die Zukunft angeht ...
Dieser Beitrag wurde am 24.06.2004 um 21:39 Uhr von Cascade editiert.
Seitenanfang Seitenende
24.06.2004, 21:40
Member
Avatar Ajax

Beiträge: 890
#22 @Smithi

Zitat

Allso;falls du zwei oder mehrere Browser auf deinem System hast-ist es völlig egal mit welchem du gerade surfst!Z.B. du surfst mit Firefox und hast noch Opera und IE (T-Onlineect.)drauf,dann kann ein Angreifer die Sicherheitslücken von denjenigen Browsern auch ansprechen,ich wiederhole:es ist völlig egal mitwelchen Browser du z.Z.surfst!
Und wie soll das bitte funktioneren ? ? ? ? ?
Ich hätte dich mit dieser Frage als Laie eigentlich nicht weitergequählt aber da:

Zitat

Ich arbeite in der IT-Sicherheitsbranche...
dürfte eine genaue und verständliche Antwort für viele unserer Leser hochinteressant sein ;)

Zitat

Es gibt 100 von verschiedenen Browsern,...
Meinst Du nicht daß diese Zahl leicht übertrieben ist?
Wir reden ja nur über das BS Windows und Aufsätze für den IE sind ja keine eigenständige Browser.

Zitat

Ein letztes Wort zu den Sicherheitslücken von IE:Jede veröffentliche Sicherheitslücke im Internet ist bekannt und wird genaustens dokumentiert-faktist: das diese dann keine mehr sind!
Da irrst Du dich aber gewaltig.
Ich hoffe Du meinst damit nicht die Veröffentlichungen und Dokumentationen von M$ ;)
Nach einer Veröffentlichung einer Sicherheitslücke wird sie erst recht zur Gefahr denn ein jeder hat Zugang zur Dokumentation und die Reaktionszeit von M$ ist manchmal ziemlich lang.
Abgesehen davon daß im Laufe der Zeit 100-te von MB an Patches für den IE bereitgestellt wurden war der IE zu keinem Zeitpunkt sicher,sprich es gab und gibt immer veröffentlichte Sicherheitslöcher für die es noch keinen Patch gibt.

Zitat

dort wird mit gelächter diskutiert wie manche Orgs.bzw.Firmen(heiseoderUnis)so einen sorry blödsinn von sich geben können ohne auf die genauen Umstände hinzuweisen!Bekommen wahrscheinlich Schmiergelder;-)
Ja,wahrscheinlich Schmiergelder von Firefox-User ;)
Das könnte aber M$ leicht stoppen indem es besagte Firmen und Organisationen aufkauft ;)

Zitat

Leider ist es heute gang und gebe dass jeder der einen PC hochfahren kann automatisch qualifiziert ist-aussagen über Produkte zu geben!
Stimmt schon,wie halt beim Fußball übrigens ja auch ;)

Zitat

Nun ja,man sieht es auch bei der Europameisterschaft:die besten Spieler und Trainer sitzten wie immer zuhause vor dem Bildschirm;-)
Gruß
Ajax
Seitenanfang Seitenende
30.06.2004, 12:03
Moderator
Themenstarter
Avatar joschi

Beiträge: 6466
#23 Um das Thema mal wieder aufzulockern, eine neue (im Grunde alte) Meldung.
http://www.heise.de/newsticker/meldung/4872

Zitat

Im Internet Explorer 6 ist eine Sicherheitslücke wieder aufgetaucht, die in ähnlicher Weise schon 1998 in den Versionen 3.x und 4.x entdeckt und mit Sicherheits-Updates behoben wurde. Damit konnte eine Webseite auf die Frames in bereits geöffneten Browserfenstern zugreifen und Code einschleusen oder Inhalte auslesen..........

__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
30.06.2004, 21:05
Member
Avatar Xeper

Beiträge: 5289
#24 @Cascade && Joschi

Schön das ihr euch darüber gedanken macht ;)

Ich sehe das ganze mehr unter einem ideologischen Gesichtspunkt - klar gibt es auch die kiddies die einfach nur was kaputt machen wollen, aber davon haben auch nur wenige die Fähigkeit dazu. Ein Punkt ist sicherlich das open-source viel schneller gefixt werden kann und ich will nich behaupten das es bei Mozilla keinen bug gibt, sicherlich ne menge. Aber ich denke mal das die meisten die Viren, Würmer etc. erschaffen grundsätzlich was gegen M$ haben. Einem Open-Source Projekt kann man nicht so gut zu schaden, weil dahinter keine Person oder Firma steckt die eine potentielle Angrifsplattform (aus welchem Grund auch immer) bietet. Natürlich gibt es Menschen die anderen einfach nur so notorisch schaden wollen. Ich denke nicht das es sich dabei um den Großteil der Viren/Würmer Programmierer handelt. Ich gehe davon aus das diese jenigen, M$ ein paar Probleme bereiten wollen. Würmer/Viren etc. sind halt das ideale Mittel dazu. Und sie haben Erfolg - IE ist gerade in letzter Zeit extrem in veruf gekommen - und die Bug Meldungen häufen sich ja geradezu wie spam.

Edit:

Da möchte ich noch gern etwas hinzufügen.
Meint ihr nicht wenn es jemanden gelingen würde einen tatsächlich wirksamen Virus für GNU/Linux zu entwickeln dann wäre das doch eine Art "durchbruch". Dann könnte M$ direkt drauf rumhacken und das achso gepriesene Linux in Sachen sicherheit wäre entlich mal auch fragwürdig - komischerweise gibt es solche Leute nicht - natürlich gab es schon mehrere exploits aber die wurden auch immer schnell gefixt.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Dieser Beitrag wurde am 30.06.2004 um 21:12 Uhr von Xeper editiert.
Seitenanfang Seitenende
30.06.2004, 21:28
Member
Avatar Xeper

Beiträge: 5289
#25 @Smithi

Zitat

ich wiederhole: es ist völlig egal mit welchen Browser du z. Z. surfst!
Du scheinst nicht viel Ahnung zu haben, weil ich aber so ein hilfsbereiter Mensch bin werde ich dich ntürlich gerne belehren :p - Es kommt auf die Prozesse an die aktiv sind.... - vollende diesen Satz bitte logisch- dankeschön.

Zitat

Und noch ein Wort zur Sicherheit von Browsern: Es gibt 100 von verschiedenen Browsern, all diese kleinen Unternehmen werben damit das Sie längst nicht so anfällig wie der IE sein sollen - eine Erklärung ist hierfür welcher Hacker kennt schon so ein Noname Produkt!? Beschäftigt man sich damit, wird immer entdeckt, dass die Sicherheit längst nicht an dennen von MS-Produkten heran reicht!
So wird es sein, vor allem weil die Hacker, Geeks und Nerds alle nur GNU/Linux oder anderweitig open-source benutzen, jedenfalls die meisten. Historisch gesehn sind für mich Hacker, diejenigen die das www und GNU/Linux geschaffen haben, und natürlich alle anderen wichtigen Komponenten. Da war windows noch lange nicht so weit - als Linux entwickelt wurde war M$ gradmal mit win 3.0 auf dem Ars..*patsch*. Sie beherschen zwar den Markt aber historisch gesehen haben sie nicht sonderlich viel erschaffen.

Zitat

Ein letztes Wort zu den Sicherheitslücken von IE: Jede veröffentliche Sicherheitslücke im Internet ist bekannt und wird genaustens dokumentiert - fakt ist: das diese dann keine mehr sind! Wer Updates versäumt oder nicht weiß wie man diese zu konfigurieren hat, der beschränkt sich eben auf ein "Hallo IE hat schon wieder eine Sicherheitslücke!"
Jede "veröffentliche" Sicherheitslücke, ja - eben nicht jede bekannte.

Zitat

Sicherheitslücke!"
Die Hersteller von Firefox ect. werden sich hüten, zu sagen dass du den Internet Explorer entfernen müsstest, denn Ihr Browser beherrscht noch nicht mal die Updates für ein Betriebssystem bzw. spezielle html-programmierung für Netscape bzw. Opera damit die Site dort auch angezeigt wird!
Mozilla beherscht die W3C standards, und richtet sich nach denen. IE beherscht gar nichts.
Also brauchst du keine spezielle html "programmierung", du musst einfach nur Ahnung haben. Und seid wann hat eine einzelne Applikation was mit dem Rest des OS zu tuen? Waren wir uns nicht einig: "Ein Programm wird nur für einen einzigen Zweck geschrieben, den es aber optimal erfüllt".

Zitat

Ich arbeite in der IT-Sicherheitsbranche...
Und ich bin ein autodidaktisch veranlagtes Individuum und arbeite nur für mich Selbst. :p
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
01.07.2004, 15:37
Member

Beiträge: 201
#26 Leute, ich denke mal Smithi will hier einfach nur Ärger verbreiten. Kein Mensch der Zitat "in der IT-Sicherheitsbranche..." arbeitet kann so etwas wirklich erst meinen. Da ich mir einfach nicht vorstellen kann das jemand der angeblich dort arbeitet so etwas wirklich glaubt muß er uns Ars..*patsch* wollen. Sollte er seine Texte wirklich ernst meinen tut er mir leid. Aber wahrscheinlich denkt er dann auch das er den IE deinstalliert hat nur weil er die exe gelöscht hat ;)

Es mag sicher stimmer das ich mit einer Software die lokal läuft (z.B. der Virus ist schon drauf..) Teile (dll's etc) vom IE mitnutzen kann auch wenn ich mit Opera surfe. Aber das ein Browser an einen Port auf eine Verbindung von ausser wartet ist ganz einfach Schwachsinn den ein Browser ist kein Webserver.

Das mit den über 100 Browsern stimmt aber ganz sicher. Ich würde sogar auf weit über 200 tippen wenn man alle Abarten mit einbezieht (vom Mozilla z.B.). Tut aber nix zur Sache. 100% sicher ist nichts aber die meisten Angriffe sind nunmal gegen den IE gerichtet.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: