IE-Bugs gefährdet Surfer !

#1 http://www.heise.de/security/news/meldung/47993
http://www.heise.de/security/news/meldung/48016

Zitat

Auf der Sicherheitsmailing-Liste Full Disclosure ist ein Security Advisory erschienen, das auf neue Fehler im Internet Explorer 6.0 hinweist, mit der es Angreifern möglich sein soll, beliebigen Code auf das System eines Opfers zu laden und auszuführen. Dem Advisory zufolge werden diese Fehler bereits von einigen Webseiten aktiv ausgenutzt. Dabei reiche der Besuch einer Webseite ohne weitere Benutzerinteraktion aus, um unbemerkt Trojaner und Adware installiert zu bekommen.

Browser-Alternativen:
www.firefox-browser.de
http://mozilla.kairo.at
www.opera.com
__________
Durchsuchen --> Aussuchen --> Untersuchen

#2 Ein irgendwie sehr passender Beitrag dazu aus dem Heise-Forum:

Zitat

> Wer Javaskript im IE aktiviert möchte doch alle Arten von Viren, nicht wahr?
Wer den IE verwendet möchte doch alle Arten von Viren, nicht wahr?

> Microsoft selbst rät schon seit Ewigkeit Javascript im IE aus
> Sicherheitsgründen abzuschalten, die meisten Sicherheitslücken im IE
> sind ja schließlich damit verbunden.
Mozilla-Fans selbst raten schon seit Ewigkeiten, den IE aus
Sicherheitsgründen nicht zu verwenden. Die meisten Sicherheitslücken
im Internet sind ja schliesslich damit verbunden.

> Webprogrammierer, die die Besucher ihrer Webseiten zum aktivieren von
> Javaskript im IE bewegen wollen, möchten normalerweise ihre Viren
> verbreiten, zumindest erscheinen mir solche Webseiten nicht als
> wirklich vertrauenswürdig.
Webprogrammierer, die die Besucher ihrer Webseiten zur Verwendung des
IE zwingen wollen, möchten normalerweise ihre Unfähigkeit, sich an
die W3C Standards zu halten zur Schau stellen. Zumindest erscheinen
mir solche Webseiten nicht als wirklich beachtenswert.

> Egal, jedem wie er 's mag. ;o)
Und wie er's verdient :-)

Firefox ist übrigens unter http://mozilla.org/products/firefox/ zu finden.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#3 Die einzige Resonanz von einem Nicht-IE-User ?
Wo sind die restlichen 90 % ?
Würde mich wirklich interessieren, wie der/die eine oder andere auf so eine gravierende Sicherheitslücke reagiert/nicht reagiert.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#4 Ich benutze seit neustem auch keinen IE mehr.
Hab allersdings das Prob dass ich viele meiner Favoriten nciht in Mozilla hab.

#5 Ich bin auch kein IE-Mann, son Pech aber auch

Hey Joschi, es bringt doch nix, die Bösen hier heranzuzitieren. Es gibt ne Masse irrationale Gründe, bei IE zu bleiben, die kennen wir doch alle schon. Warum hört man nicht mit dem Rauchen auf, auch wenn man Bescheid weiß?
Jeder Mensch ist wahrscheinlich irgendwo bequem, und manche sind es eben mit dem IE.
Hier in Köln sagt man: "Et hätt noch immer jot jejange".
Meine Freunde und Kollegen surfen auf IE, weil er halt da ist und nix kostet. Die meinen, dass die Wahrscheinlichkeit, dass was passiert und richtig Schaden anrichtet, eher gering ist, womit sie garnicht mal so falsch liegen.

Gruß Reinhart

#6

Zitat

Es gibt ne Masse irrationale Gründe

Sind das tatsächliche Gründe?

Zitat

Die meinen, dass die Wahrscheinlichkeit, dass was passiert und richtig Schaden anrichtet, eher gering ist, womit sie garnicht mal so falsch liegen.

Joa da liegen die voll daneben.

Zitat

Meine Freunde und Kollegen surfen auf IE, weil er halt da ist und nix kostet.

Nanana nix kostet? - hmm auf jedenfall ist er ein Teil von Windows.
Mozilla kostet tatsächlich nichts das stimmt.

Zitat

Hier in Köln sagt man: "Et hätt noch immer jot jejange".

Et jing noch nie 'sonders jut.
Leider ist der IE ein Hauptproblem wo ne ganze menge Bugs drin sind, fakt ist ohne den IE wär Windows scho mal ne Ecke sicherer. Des weiteren mangelts dem IE überhaupt an allem besonders an guten Entwicklern.

Zitat

nicht mit dem Rauchen auf, auch wenn man Bescheid weiß?

Willst sagen der IE macht süchtig?
Vielleicht möchtest du auch von Gewohnheit sprechen. Aber trozdem würde ich das so jetzt nicht vergleichen.

@Joschi

Zitat

Die einzige Resonanz von einem Nicht-IE-User ?

Hier, noch einer
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#7

Zitat

.... es bringt doch nix, die Bösen hier heranzuzitieren.

Habe ich auch nicht vor, zumal ich nichts böses bei der Sache finden kann. Aber wie gesagt: auch Gründe, die einen dazu bewegen, den IE ganz normal weiter zu nutzen sind interessant.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#8 Das ist leider nicht der einzige schwere Bug diese Woche!

Zitat

Katastrophale Löcher: Internet Explorer praktisch nutzlos


Das zweite schwere Sicherheitsloch binnen einer Woche wurde jetzt im Internet Explorer entdeckt. Angreifer können unter Umgehung der Sicherheitszonen Code auf dem Rechner ausführen, und Betrüger über gefälschte URLs arglose Opfer um sensitive Daten erleichtern. Um sich vor Angriffen zu sichern, müssen Benutzer den Browser derart beschränken, dass an ein sinnvolles Surfen nicht mehr zu denken ist.

http://www.tecchannel.de/news/betriebssystem/15869/

Beschreibung der Lücken des IE von dieser Woche....

http://www.tecchannel.de/sicherheit/reports/3058.html
http://www.tecchannel.de/sicherheit/reports/3082.html

#9

Zitat

Katastrophale Löcher: Internet Explorer praktisch nutzlos

Ich weiß nich warum das immer so überaschend sein soll
Das wußt ich eh schon lange, IE bugs sind ja eh mittlerweille schon "spam".
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#10 Wenn ich mir das Spyware-Hijacker-Forum anschaue und wie es in den letzten Monaten zugenommen hat (ein richtiges "Schwergewicht"), dann habe ich den Eindruck, dass es einfach nicht durchgedrungen ist, wieviele Probleme einfach durch den Einsatz des IE zustande kommen.
Weiß jemand, wo es "nicht gefärbte" Statistiken zu den am häufigsten genutzen Browsern im Internet gibt ?
__________
Durchsuchen --> Aussuchen --> Untersuchen

#11

Zitat

joschi postete
Wenn ich mir das Spyware-Hijacker-Forum anschaue und wie es in den letzten Monaten zugenommen hat (ein richtiges "Schwergewicht"), dann habe ich den Eindruck, dass es einfach nicht durchgedrungen ist, wieviele Probleme einfach durch den Einsatz des IE zustande kommen.

Ich sehe das im übrigen nicht gerade als eine Bereicherung für dieses Forum.

Jeder dieser Threads besteht aus den immer gleichen Textbausteinen. Angefangen mit "Logfile of HijackThis v1.97.7" endet es immer in "Fix dieses und jenes und das auch. Lad dir das runter, für das aus, schmeiß das weg, neu booten, neues Log posten." Einzig der Hinweis einen anderen Browser zu verwenden wird anscheinend steht´s ignoriert, denn die Flut an Threads scheint gar nicht mehr aufzuhören.

Ich wäre dafür künftig auf eine generelle Anleitung, wie die von Rokop Security, zu verweisen und erst nachdem derjenige die üblichen 5 Tools hat durchlaufen lassen und sein System aktuell ist weiter zu helfen. Sonst enden wir hier irgendwann als großes Hijackthis-Forum, das sich nicht mehr mit Security sondern mit dem rumdoktorn an unsicherer Software beschäftigt.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#12 Erstens finde ich das Mirosoft einen ausgezeichneten Service hat und Ihre Produkte weltweit genaustens nach Fehlern abgescheckt werden - also eine bessere Symbiose kann es zwischen Herstellern und User gar nicht geben.

Zweitens, wird nie beschrieben welche Sicherheitseinstellungen IE 6 hatte - ich schätze wohl die niedrigste um eindringen zu können..

Drittens, wird oft der Tipp gegeben zu anderen Browser zu wechseln, dabei sollte man wissen - falls nicht der IE vollkommen deinstalliert wird - verdopppelt man die Sicherheitslücken indem man noch einen zweiten Browser hinzu gefügt hat.

Viertens, neue Browser wie Firefox ect. haben auch Ihre Sicherheitslücken und leider werden diese Lücken nur nirgens erwähnt (siehe Opera u. Mozilla mit Scripts und Applets)! Oder bei Mozilla das Update - könnten mal alle Sicherheitprobleme der anderen Browser aufzählen....
Und heise.de schreibt viel bzw. lässt so manche Fragen immer undokumentiert!

#13 @Smithi

da hast du nicht ganz unrecht - Aber zb. zum Mozilla/Firefox etc. es ist sehr viel einfacher open-source zu fixen als closed-source. Ich würde auch hier nicht bestreiten wieviele Sicherheitslücken Linux (der kernel) schon hatte - die aber auch immer sofort gefixt wurde. Das ist bei IE und bei windows definitiv nicht so.

Dein Punkt "Drittens" halte ich für quatsch - man kann ja auch nur einen Browser benutzen.
Und das die Mozilla lücken nie erwähnt werden stimmt auch nicht - CERT schreibt über alle bugs was auch über Mozilla.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#14 @Camailleon

Zitat

Ich benutze seit neustem auch keinen IE mehr.
Hab allersdings das Prob dass ich viele meiner Favoriten nciht in Mozilla hab.

Habe zwar Mozilla nicht getestet(bevorzuge Firefox weil er schlanker ist) aber ich verstehe dein Prob nicht.Sollte es keine Erweiterung für Mozilla geben um automatisch die Favoriten zu importieren dann kannst Du es halt manuell tun.Dauert zwar länger aber es ist eine einmalige Arbeit.
@Smithi

Zitat

Erstens finde ich das Mirosoft einen ausgezeichneten Service hat..

Ein deutschsprachiges Browser Hijacker Support Forum moderiert von M$-Fachkräfte wäre ein echter Beweis dafür

Zitat

also eine bessere Symbiose kann es zwischen Herstellern und User gar nicht geben.

Weiß zwar nicht wie stark die User dieses (und auch anderer) Forums von der besagten Symbiose begeistert sind,jedenfalls ist davon wenig zu spüren.

Zitat

Zweitens, wird nie beschrieben welche Sicherheitseinstellungen IE 6 hatte - ich schätze wohl die niedrigste um eindringen zu können..

Der IE bleibt auch mit den höchsten Sicherheitseinstellungen unsicher.
Abgesehen davon falls alles abgeschaltet wird bleibt vom sogenannten Funktionsumfang des IE wenig übrig.

Zitat

Drittens, wird oft der Tipp gegeben zu anderen Browser zu wechseln, dabei sollte man wissen - falls nicht der IE vollkommen deinstalliert wird - verdopppelt man die Sicherheitslücken indem man noch einen zweiten Browser hinzu gefügt hat.

Den IE kann man nicht vollkommen deinstallieren.Dafür wurde er zu tief im BS verankert und das wird mit seiner Unsicherheit gezollt.
Auch nach einer vermeintlich kompletten Deinstallation des IE kann man problemlos mit dem WindowsExplorer weitersurfen.
Über die Art wie man sich durch die Installation eines zweiten Browsers die Sicherheitslöcher verdoppelt,lasse ich mich von dir gerne belehren

Zitat

Viertens, neue Browser wie Firefox ect. haben auch Ihre Sicherheitslücken...

Gut möglich daß Alternativbrowser nicht immer perfekt sind doch bleibt der IE Risikofaktor Nr.1 unter den Browsern.Als Beweis dafür sollte ein kurzer Blick im Browser Hijacker Support Forum eigentlich reichen.

Zitat

und leider werden diese Lücken nur nirgens erwähnt (siehe Opera u. Mozilla mit Scripts und Applets)! Oder bei Mozilla das Update

Erwähnt werden sie schon ansonsten könntest Du darüber schlecht schreiben
Im Gegensatz zum IE werden aber öffentlich gemachte Mängel i.d.R in kurzer Zeit auch behoben.

Zitat

könnten mal alle Sicherheitprobleme der anderen Browser aufzählen...

Dann würde die Liste der Mängel verglichen mit der IE-Liste ziemlich kurz ausfallen

Die Wahl des Browsers bleibt schließlich jedem frei überlassen und das ist auch gut so.
Scheinbar mögen es manche Leute sogar periodisch Hijack-Turnübungen zu verrichten.
Zugegeben dies ist auch ein Weg Windows zu erforschen und laufende Prozesse näher kennenzulernen,wenn auch nicht unbedingt der entspannendste.

Gruß
Ajax

#15 @Ajax

Zitat

Über die Art wie man sich durch die Installation eines zweiten Browsers die Sicherheitslöcher verdoppelt,lasse ich mich von dir gerne belehren ...

Ich werde es dir gerne erklären: Viele Programme (Software) die du installierst kommunizieren mit dem Internet, dafür benutzten Sie dienste und gewisse Ports. Auch wenn du das Programm z. Z. nicht benutzt können diese Programme von außen (Sicherheitslücken) angesprochen werden.
Allso; falls du zwei oder mehrere Browser auf deinem System hast - ist es völlig egal mit welchem du gerade surfst! Z. B. du surfst mit Firefox und hast noch Opera und IE (T-Online ect.) drauf, dann kann ein Angreifer die Sicherheitslücken von denjenigen Browsern auch ansprechen, ich wiederhole: es ist völlig egal mit welchen Browser du z. Z. surfst!
Und da hier (auch auf anderen Boards) immer der wechsel vorgeschlagen wird, sollte man auch auf die Gefahren hinweisen! Denn die meisten Systeme haben eben einen vorinstallierten IE (diesen kann man entfernen, nur hakt es dann mit den Updates von MS für Windows) - leider kapieren Firefox ect. das nicht - Ausnahme Netscape aber nur bei vorinstallation!
Und noch ein Wort zur Sicherheit von Browsern: Es gibt 100 von verschiedenen Browsern, all diese kleinen Unternehmen werben damit das Sie längst nicht so anfällig wie der IE sein sollen - eine Erklärung ist hierfür welcher Hacker kennt schon so ein Noname Produkt!? Beschäftigt man sich damit, wird immer entdeckt, dass die Sicherheit längst nicht an dennen von MS-Produkten heran reicht!
Ein letztes Wort zu den Sicherheitslücken von IE: Jede veröffentliche Sicherheitslücke im Internet ist bekannt und wird genaustens dokumentiert - fakt ist: das diese dann keine mehr sind! Wer Updates versäumt oder nicht weiß wie man diese zu konfigurieren hat, der beschränkt sich eben auf ein "Hallo IE hat schon wieder eine Sicherheitslücke!"
Die Hersteller von Firefox ect. werden sich hüten, zu sagen dass du den Internet Explorer entfernen müsstest, denn Ihr Browser beherrscht noch nicht mal die Updates für ein Betriebssystem bzw. spezielle html-programmierung für Netscape bzw. Opera damit die Site dort auch angezeigt wird!
Ich arbeite in der IT-Sicherheitsbranche und dort wird mit gelächter diskutiert wie manche Orgs. bzw. Firmen (heise oder Unis) so einen sorry blödsinn von sich geben können ohne auf die genauen Umstände hinzuweisen! Bekommen wahrscheinlich Schmiergelder ;-)
Leider ist es heute gang und gebe dass jeder der einen PC hochfahren kann automatisch qualifiziert ist - aussagen über Produkte zu geben!
Nun ja, man sieht es auch bei der Europameisterschaft: die besten Spieler und Trainer sitzten wie immer zuhause vor dem Bildschirm ;-)
Ob du mir glaubst ist deine Sache, aber denk mal drüber nach! Und wer hätte denn von diesen ganzen falschen Infos wirklich ein Vorteil!? Natürlich kann jeder den Browser wählen den er für richtig hält - nur sollte er alle Umstände kennen. Ob man sich dann noch für andere Produkte entscheidet?