Heise.de - Internet Explorer am robustesten

#1 Und dabei wird einem immer geraten zu anderen Produkten zu wechseln.....

Zitat

Internet Explorer am robustesten

Mit fehlerhaften HTML-Seiten lassen sich die meisten aktuellen Browser aus dem Tritt bringen -- mit Ausnahme des Internet Explorer, so das Ergebnis einer Untersuchung des renommierten Sicherheitsspezialisten Michael Zalewski. Ein von ihm programmiertes Tool erzeugte dazu systematisch fehlerhaften HTML-Code, den er dann in verschiedenen Browsern darstellen ließ. Zalewski beschränkte sich auf recht einfaches HTML, Scripte und Stylesheets kamen nicht zum Einsatz.

Mozilla, Netscape, Firefox, Opera und Lynx reagierten seinen Ergebnissen nach regelmäßig mit Abstürzen, Speicherzugriffsverletzungen, Buffer Overflows und manchmal mit einem mehrminütigen Stillstand des Systems. Microsofts Internet Explorer zeigte sich von diesen Tests hingegen unbeeindruckt -- weder stürzte er ab, noch blieb er stehen.

Zalewski hat einige der aufgetretenen Fehler analysiert und auch gleich die Ursachen ausgemacht. So erzeugen bestimmte Zeichenkombinationen hinter TEXTAREA-, INPUT-, FRAMESET- und IMG-Tags in Mozilla nachvollziehbar Pufferüberläufe. Diese ließen sich wahrscheinlich auch ausnutzen. Opera hingegen reagiert allergisch auf bestimmte Tabellen. Zalweski hat dann nach eigenen Angaben aufgrund der großen Zahl der Fehler schnell die Lust an weiteren Analysen verloren. Er habe einige der Hersteller jedoch über die bereits entdeckten Probleme informiert.

Weitere Gedanken machte er sich dennoch -- insbesondere über die Qualitätssicherung der Hersteller. Gerade die Browser, die sonst als sicher gelten, können seiner Ansicht nach in diesem Punkt nicht mit dem Internet Explorer mithalten. Offenbar sei nur der Microsoft-Browser systematischer Qualitätssicherung mit ähnlichen Tools unterzogen worden. Gleichwohl bedeute das nicht automatisch, dass der Internet Explorer sicherer sei. Microsofts Browser habe andere Lücken, deren Ursprung nicht zuletzt in der Architektur und seinen besonderen Funktionen liege.

Ein eingeschränkte Demonstration der fehlerhaften HTML-Seiten zeigt Zalweski auf Coredump.cx; das benutzte Programm, das den fehlerhaften HTML-Code erzeugt, stellt er für weitere Tests zum Download bereit.

Hier auch der Link:
http://www.heise.de/newsticker/meldung/52317
__________
Wenn wir bedenken, dass wir alle verrückt sind, ist das Leben erklärt.
(Mark Twain)

#2 Und was sagt uns das? Doch nur das der IE jeden noch so miesen Code interpretiert. Wird das dazu führen das künftig mehr W3C-standardisierte Seiten programmiert werden? Wohl kaum, aber so kann man weiter sagen das manche Seiten in Mozilla "komisch" aussehen oder nicht funktionieren.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#3 In der Heise-Meldung wurde Zalewski falsch zitiert. Im Original heißt es zum Buffer Overflow:

Zitat

The behavior is tag and OS-specific, and is likely exploitable with some luck in those of the cases that do not lead to NULL ptr. I didn't investigate - Mozilla sources are 220 MB, mostly C++, takes forever to compile

http://www.securityfocus.com/archive/1/378632

Der Autor hat somit nicht "wegen der großen Zahl der Fehler schnell die Lust an weiteren Analysen verloren". Vielmehr hatte er keine Lust, sich in 220 MB Code einen Wolf zu suchen, um eventuell (!) eine entsprechend ausnutzbare Lücke zu finden.

#4 Wie lächerlich, dass beweißt nur das heise.de keine Ahnung hat. Und dann auch noch falsche quotes. Ein Browser der anfällig für eine relativ unbekannte Anzahl von Viren, exploits usw. ist, wo dann die Entwickler selber nicht mehr genau wissen für was eigentlich alles der ist doch in keinster Weise Robust. Komplette Fehlinterpretation, ich empfehle den Heise Menschen mal einen Duden.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#5

Zitat

Spike20 postete
Und dabei wird einem immer geraten zu anderen Produkten zu wechseln.....

Und das nicht zu Unrecht.
Man brauch kein Securityforumleser zu sein um zu begreifen warum.

Zitat

Microsofts Browser habe andere Lücken, deren Ursprung nicht zuletzt in der Architektur und seinen besonderen Funktionen liege.

Davon könnten millionen von IE-User ein Lied singen

Mal sehen und abwarten wann und ob für die Pufferüberläufe in Mozilla, Exploits da sind bzw wie das Mozillateam auf die Nachricht reagiert.
Operas Absturz durch diesen Test mag ärgerlich sein, in wieweit es für ein Exploit ausnutzbar ist, wird sich in Zukunft zeigen.
Übrigens scheint nur die v.7.xx betroffen zu sein.Die v.6.06 bleibt zumindest von diesen Test unbeeindruckt.

#6 Ja natürlich ist er am "robustesten"!

Alle krummen Webseiten dieser Welt sind doch nur programmiert worden, weil es den IE gibt!

Wenn die einem anständigen Browser Code hinknallen, der noch nie etwas von W3C gehört hat, kann den das schon mal aus dem Tritt bringen...

Stellt euch vor, eine Tankstelle verkauft Sprit mit irgendwelchen seltsamen Additiven, die dazu führen, das euer Auto immer aus geht...
Stellt euch nun noch vor, nach einer Beschwerde argumentiert die Tankstelle, der Sprit würde in XY-Motoren hervorragend laufen, dort sogar Vorteile bringen, in allen anderen halt nicht, aber ihr könnt ja ein Auto mit XY-Motor kaufen!

Tja und nun kommt ein anderer Spassvogel daher und erklärt, die XY-Motoren seien die besten, da sie den esoterischen Sprit verkraften...

Tipp bei W3C-inkompatiblen Webseiten, Seiten, die ohne ActiveX, Flash oder anderen Brimborium nicht funktionieren:
Bitterböse Mails schreiben, ruhig häufiger (aber nicht immer der selbe Text, das könnte als spammen ausgelegt werden).
Ich teile den jeweiligen Verantwortlichen immer gerne mit, das ihre Seiten schlicht scheysse sind, da ich sie mit einem Browser, der alle gültigen Spielregeln kennt (Opera, Firefox) nicht betrachten kann.

Betreibern von Seiten, die ohne Flash erst garnicht zu betrachten sind lege ich dar, das ich nicht erwarten kann, mit jemanden seriöse Geschäfte zu machen, wenn dieser mich zuvor zwingt, ein unnützes Spielzeug runterzuladen.
Ausserdem biete ich an, wenn die entsprechende Kompetenz im Haus fehlt, eine optisch ansprechende alternative Seite ohne Flash für kleines Geld zu erstellen.

Diese Spitze hat schon so manches mal gezogen