Schwerwiegende Lücke im Internet Explorer 109
17.12.2008
Original von Rico1973
Die Lücken, mit denen sich die WebServer als "Schädlingsschleudern" ausnutzen lassen, bleiben weiterhin bestehen... und die sind teilweise seit Jahren bekannt. ;-)
Du hast natürlich grundsätzlich recht. In einer Welt ohne Sicherheitslücken würde es sich am Schönsten leben lassen ;-)
Leider ist es nun mal so, daß das Internet löchrig wie ein Schweizer Käse ist.
Also bleibt einem nichts anderes, als sich da zu schützen, wo man selber einen Einfluss darauf hat:
Auf dem eigenen Rechner.
Das Problem ist die kriminelle Energie, die hinter all dem steckt. Hier geht es um mehr Geld als die meisten sich vorstellen können.
Der aktuelle IE Exploit wurde schon seit Oktober auf dem Schwarzmarkt zu hohen Preisen gehandelt. Ist auch klar.....eine unbekannte Lücke, die sich schon aktiv ausnutzen lässt ist Gold wert. Somit hatten die entsprechenden Leute über zwei Monate Zeit, um Rechner möglichst unbemerkt zu infizieren. Und schon sind ein paar Botnetzwerke wieder gewaltig angewachsen mit denen man eine Menge Geld durch Spamversand und ähnlichem verdienen kann.
Im Gegensatz zu dem, was die meisten Leute glauben, bekommen viele nämlich gar nicht mit, wenn sie sich Schadsoftware eingefangen hat....und genau so ist sie auch geschrieben. Möglichst unsichtbar....auch für den Virenscanner.
Der Hauptzweck ist heutzutage die Kontrolle über einen Rechner zu bekommen...ohne daß der Anwender, der davor sitzt dies merkt.
#82Report
17.12.2008
Der Patch von Microsoft ist da:
http://www.microsoft.com/technet/security/bulletin/ms08-078.mspx
Ich empfehle jedem, der den Internet Explorer benutzt, diesen so schnell wie möglich einzuspielen
http://www.microsoft.com/technet/security/bulletin/ms08-078.mspx
Ich empfehle jedem, der den Internet Explorer benutzt, diesen so schnell wie möglich einzuspielen
#83Report
[gone] www.trash-pixel.de
18.12.2008
So viel zum Thema Sicherheit beim FF ...
Infizierte Dateien:
C:\Programme\Mozilla Firefox\Components\iamfamous.dll (Spyware.Passwords)
Infizierte Dateien:
C:\Programme\Mozilla Firefox\Components\iamfamous.dll (Spyware.Passwords)
#84Report
[gone] MARKUS WUESTEFELD PHOTOGRAPHY
18.12.2008
Na Bitte ... geht doch :o) - jetzt sollte man aber auch noch Fairerweise darüber informieren das alle die durch diese Panikmache umgestiegen sind, ihren Firefox auf 3.0.5 aktualisieren da wurden jetzt auch 8 schwere Sicherheitslücken geschlossen - eine bleibt noch offen aber die soll nicht so wild sein :)
Dann können alle wieder zur Tagesordnung übergehen ....
Dann können alle wieder zur Tagesordnung übergehen ....
#85Report
18.12.2008
Original von trash-pixel.de .. M*A*S*H
So viel zum Thema Sicherheit beim FF ...
Infizierte Dateien:
C:\Programme\Mozilla Firefox\Components\iamfamous.dll (Spyware.Passwords)
Und was soll uns das nun sagen?
Du hast einen Trojaner auf Deinem Rechner, der Seitenaufrufe im Firefox umbiegt.
Das macht aber noch nicht die geringste Aussage darüber, wie Du ihn Dir eingefangen hast nur was dieser Trojaner anstellt, wenn man ihn mal draufhat.
@CM-PHOTO-Art
Wollen wir mal nicht übertreiben.
Die Rede war von DREI(!) kritischen Lücken. Eine wird noch als gefährlich geführt, eine als moderat und drei als ungefährlich.
Für keine davon ist ein Exploit im Umlauf, der diese Lücken ausnutzen würde, um einen Rechner zu infizieren
Aber Recht hast Du.....auf jeden Fall auf den neusten Firefox updaten. Aber das ist eh selbstverständlich für jede Software, mit der ich ins Netz gehe :)
#86Report
[gone] MARKUS WUESTEFELD PHOTOGRAPHY
18.12.2008
Heise sprach von acht aber egal Lücke ist lücke - Bedenklich nur das der Firefox auf Platz 1 der " am meisten verwundbaren Anwendungen" ist, gefolgt von Adobe Reader, Adobe Flash, VMware, Java und QuickTime...
#87Report
18.12.2008
Acht Lücken ja. Du hast aber von acht schweren(!) Lücken gesprochen.
Zähl mal nach, wie viel und oft üblicherweise im IE gepatcht wird und was da alles kritisch ist ;)
Das mit den angeblich verwundbarsten Anwendungen - angeführt von Firefox - ist am Anfang dieser Seite schon erklärt.
Firefox führt nur als die Anwendung, bei der die meisten Lücken gefixt wurden, die aber nicht über den Microsoft WSUS Dienst automatisch geupdatet werden können.
Wir sollten uns mal darauf einigen von reellen Gefahren auszugehen. Ich würde euch mal empfehlen, die Sicherheitsmeldungen über den IE weiterhin zu verfolgen. Ich mache das schon seit Jahren.....und so schwere Lücken wie im IE - die noch dazu aktiv ausgenutzt werden - gab es noch in kaum einem anderen Browser.
Aber Gott sei Dank kommt sowas wie der aktuelle Fall auch bei Microsoft nur alle ein/zwei Jahre mal vor.
Zähl mal nach, wie viel und oft üblicherweise im IE gepatcht wird und was da alles kritisch ist ;)
Das mit den angeblich verwundbarsten Anwendungen - angeführt von Firefox - ist am Anfang dieser Seite schon erklärt.
Firefox führt nur als die Anwendung, bei der die meisten Lücken gefixt wurden, die aber nicht über den Microsoft WSUS Dienst automatisch geupdatet werden können.
Wir sollten uns mal darauf einigen von reellen Gefahren auszugehen. Ich würde euch mal empfehlen, die Sicherheitsmeldungen über den IE weiterhin zu verfolgen. Ich mache das schon seit Jahren.....und so schwere Lücken wie im IE - die noch dazu aktiv ausgenutzt werden - gab es noch in kaum einem anderen Browser.
Aber Gott sei Dank kommt sowas wie der aktuelle Fall auch bei Microsoft nur alle ein/zwei Jahre mal vor.
#88Report
19.12.2008
Original von CM-PHOTO-Art - Leipzig
Heise sprach von acht aber egal Lücke ist lücke - Bedenklich nur das der Firefox auf Platz 1 der " am meisten verwundbaren Anwendungen" ist, gefolgt von Adobe Reader, Adobe Flash, VMware, Java und QuickTime...
Hier übrigens die offizielle Erwiderung zu dieser "Studie" für die, die es noch interessiert:
Dreckiges Dutzend: Mozilla widerspricht Kritik an Firefox-Sicherheit
Das Kriterium, "kritische Sicherheitslücke" im Jahr 2008 bestrafe diejenigen Software-Hersteller, die eine offene Informationspolitik mit Sicherheitsbelangen betreiben, wie eben Mozilla, schreibt Nightingale. Kurz: Wer seine Sicherheitsprobleme verschweigt, umgeht dieses Kriterium einfach. darüberhinaus bezweifelt er den Ansatz von Bit9 prinzipiell: Dass Software fehlerhaft ist, sei eine Binsenweisheit, statt die Fehlerhaftigkeit als Kriterium zu nehmen sei es weitaus sinnvoller, Umgang und Reaktionszeit mit Sicherheitsproblemen als Messlatte zu nehmen.
#89Report
#90
19.12.2008
Ziemlich simpel ausgedrückt, sagt die Studie folgendes:
Nimm alle Anwendungen, die nicht von Microsoft über einen den Updatedienst aktualisiert werden (das schließt die meisten Microsoft-Anwendungen schon mal aus)
Und von diesen Anwendungen nimm an, daß sie nie(!) auf den neusten Stand gebracht werden also quasi in der Ursprungsversion weiterverwendet werden.
Und dann zähle einfach die Anzahl der veröffentlichten (aber mittlerweile gefixten) kritischen Lücken um rauszufinden, welche Anwendung am Gefährdesten ist.
Wie vorher schon geschrieben. Ich gehe lieber von reellen Gefahren aus. Und da wurde erst kürzlich ein auf dem Schwarzmarkt erhältliches Exploit Pack ausprobiert, welche Browser damit am Besten angegriffen werden konnten.
Und da führten die Internet Explorer Versionen (allen voran IE 6)
Nimm alle Anwendungen, die nicht von Microsoft über einen den Updatedienst aktualisiert werden (das schließt die meisten Microsoft-Anwendungen schon mal aus)
Und von diesen Anwendungen nimm an, daß sie nie(!) auf den neusten Stand gebracht werden also quasi in der Ursprungsversion weiterverwendet werden.
Und dann zähle einfach die Anzahl der veröffentlichten (aber mittlerweile gefixten) kritischen Lücken um rauszufinden, welche Anwendung am Gefährdesten ist.
Wie vorher schon geschrieben. Ich gehe lieber von reellen Gefahren aus. Und da wurde erst kürzlich ein auf dem Schwarzmarkt erhältliches Exploit Pack ausprobiert, welche Browser damit am Besten angegriffen werden konnten.
Und da führten die Internet Explorer Versionen (allen voran IE 6)
#91Report
19.12.2008
Das ist nicht nur ne Annahme, das ist tatsächlich so.
Du glaubst doch wohl nicht im ernst, dass der Vorzimmerlöwe vom Chef von selbst auf die Idee kommt und nen Update macht, wenn doch der Browser noch läuft. Ergo muss man in Enterprise umgebungen auf so einen zentralen Updatedienst bauen können, weil sonst jeder macht, wozu er gerade Lust hat und dann hast du ein Heidenversionschaos und ein noch größeres Security Problem.
Zu Hause ist das freilich was anderes, aber selbst da laufen in der unmittelbaren Nachbarschaft noch diverse FF Versionen, die seit der Erstinstallation niemals aktualisiert wurden. Das ist eine Tatsache. Wenigstens tut mittlerweile ein Virenscanner seinen Dienst, der zumindest das Schlimmste verhindert...
Du glaubst doch wohl nicht im ernst, dass der Vorzimmerlöwe vom Chef von selbst auf die Idee kommt und nen Update macht, wenn doch der Browser noch läuft. Ergo muss man in Enterprise umgebungen auf so einen zentralen Updatedienst bauen können, weil sonst jeder macht, wozu er gerade Lust hat und dann hast du ein Heidenversionschaos und ein noch größeres Security Problem.
Zu Hause ist das freilich was anderes, aber selbst da laufen in der unmittelbaren Nachbarschaft noch diverse FF Versionen, die seit der Erstinstallation niemals aktualisiert wurden. Das ist eine Tatsache. Wenigstens tut mittlerweile ein Virenscanner seinen Dienst, der zumindest das Schlimmste verhindert...
#92Report
19.12.2008
Original von Rico1973
Ergo muss man in Enterprise umgebungen auf so einen zentralen Updatedienst bauen können, weil sonst jeder macht, wozu er gerade Lust hat und dann hast du ein Heidenversionschaos und ein noch größeres Security Problem.
Und genau den gibt es auch.
Firefox aktualisiert sich automatisch auf die neuste Version sobald eine verfügbar ist. Ebenso wie es die automatischen Updates von Windows erledigen.
Laut Mozilla wureden üblicherweise bereits innerhalb der ersten 6 Tage nach Erscheinen einer neuen Version 90% aller Firefox User auf diese geupdatet. Das ist deutlich schneller als der monatliche Patchzyklus auf den Microsoft setzt
Es gibt auch etliche andere Software, die nicht über den Microsoft WSUS Dienst aktualisert werden kann. Aber Gott sei Dank ist Microsoft nicht der Einzige, der auf ein zentralisiertes Updatemanagement setzt.
Große Firmen setzen z.B. Netinstall ein, über welches man beliebige Software aktualisieren kann....auch Firefox
#93Report
20.12.2008
bla bla - wenn es den wirklich gibt, wieso landet der brennende fuchs dann überhaupt auf dieser Liste. Also manchmal wirklich :wallbashing:
Wiegesagt, meine Erfahrungen sind ganz andere und ich hab täglich mit Kunden zu tun, die mir als erstes die Versionnummer ihres Browser sagen müssen (weil ich ihnen sonst nicht helfen kann). FF3 ist da längst nicht die Regel, übrigens auch nicht 2.20. Was Mozilla über seinen Browser erzählt dürfte ungefähr gleich einzuordnen sein, wie das, was MS über den IE verbreitet. Von daher verlass ich mich da lieber auf meinen gesunden Menschenverstand und auf meine Erfahrungen mit realen Menschen ...
Wiegesagt, meine Erfahrungen sind ganz andere und ich hab täglich mit Kunden zu tun, die mir als erstes die Versionnummer ihres Browser sagen müssen (weil ich ihnen sonst nicht helfen kann). FF3 ist da längst nicht die Regel, übrigens auch nicht 2.20. Was Mozilla über seinen Browser erzählt dürfte ungefähr gleich einzuordnen sein, wie das, was MS über den IE verbreitet. Von daher verlass ich mich da lieber auf meinen gesunden Menschenverstand und auf meine Erfahrungen mit realen Menschen ...
#94Report
20.12.2008
Also dann nur mal interessehalber.....was ist es eigentlich, was euch am IE so überzeugt?
Ich hab IE6 jahrelang benutzt, bin dann auf FF umgestiegen, hab IE7 noch mal eine Chance gegeben, hab mich aber dann doch weiterhin für FF entschieden.
Ich kenne also beide Welten recht gut.
Für mich gibt es einige Gründe, die - abseits der Sicherheitslücken - gegen den IE sprechen:
Darüberhinaus bietet mir der FF eine Fülle an Erweiterungen, die ich auf keinen Fall mehr missen möchte. Schon alleine AdBlock Plus ist den Umstieg wert.
Seit ich das benutze hab ich schon fast vergessen, daß es im Web überhaupt Werbebanner und Popups gibt, weil ich sie nie zu Gesicht bekomme. Noch dazu ist das ein zusätzlicher Sicherheits- und Geschwindigkeitsgewinn, weil schädliche Flashbanner (über solche wurden auch schon Viren verschleudert) erst gar nicht geladen werden.
[Nachtrag]
Und es gibt eine portable Version, die ich einfach so ohne Installation z.B. vom USB Stick laufen lassen kann. Unabhängig davon, daß ich so meine Browserumgebung immer mit mir mitnehmen kann, kann ihn auf diese Art jeder mal schnell ausprobieren, ohne seinen Rechner zu verändern :)
P.S.: Noch zu Deiner Frage:
Netinstall gibt es wirklich...und ich hab ihn schon bei einigen großen Kunden im Einsatz gesehen. Wacker und Infineon warten ihre Rechner z.B. so.
Ich frag mich da eher, wieso es diese Liste überhaupt gibt, wenn Produkte wie Netinstall verfügbar sind ;) Für mich eine lächerliche Statistik, die mit der Realität nicht viel gemein hat.
Ich hab IE6 jahrelang benutzt, bin dann auf FF umgestiegen, hab IE7 noch mal eine Chance gegeben, hab mich aber dann doch weiterhin für FF entschieden.
Ich kenne also beide Welten recht gut.
Für mich gibt es einige Gründe, die - abseits der Sicherheitslücken - gegen den IE sprechen:
- Er bietet deutilich weniger Features und Anpassungsfähigkeit als seine Konkurrenten
- Er hinkt eigentlich immer eine Generation hinterher. FF hatte z.B. schon Tabs und Phisingschutz lange bevor der IE dies eingebaut hatte
- Er ist bei Tests langsamer als seine Konkurrenten (Rendering, Javascript usw)
- Er erfüllt Webstandards nur unzulänglich und macht damit jedem Webentwickler das Leben schwer (und das dürfte noch der schwerwiegendste Grund sein, ihn nicht einzusetzen, bis MS hier nachgebessert hat)
Darüberhinaus bietet mir der FF eine Fülle an Erweiterungen, die ich auf keinen Fall mehr missen möchte. Schon alleine AdBlock Plus ist den Umstieg wert.
Seit ich das benutze hab ich schon fast vergessen, daß es im Web überhaupt Werbebanner und Popups gibt, weil ich sie nie zu Gesicht bekomme. Noch dazu ist das ein zusätzlicher Sicherheits- und Geschwindigkeitsgewinn, weil schädliche Flashbanner (über solche wurden auch schon Viren verschleudert) erst gar nicht geladen werden.
[Nachtrag]
Und es gibt eine portable Version, die ich einfach so ohne Installation z.B. vom USB Stick laufen lassen kann. Unabhängig davon, daß ich so meine Browserumgebung immer mit mir mitnehmen kann, kann ihn auf diese Art jeder mal schnell ausprobieren, ohne seinen Rechner zu verändern :)
P.S.: Noch zu Deiner Frage:
Netinstall gibt es wirklich...und ich hab ihn schon bei einigen großen Kunden im Einsatz gesehen. Wacker und Infineon warten ihre Rechner z.B. so.
Ich frag mich da eher, wieso es diese Liste überhaupt gibt, wenn Produkte wie Netinstall verfügbar sind ;) Für mich eine lächerliche Statistik, die mit der Realität nicht viel gemein hat.
#95Report
20.12.2008
Erzähl das unseren Kunden.
Bei uns ist der Kunde König und wenn der IE verlangt, stellen wir uns nicht quer, sondern machen das, was möglich ist und erzählen ihm nicht, dass irgendwas nicht geht (einfach weil es nicht stimmt). Es geht grundsätzlich alles.
Ich weiß nicht, wie das bei euch läuft, vielleicht könnt ihr es euch leisten, wir können es nicht.
Bei uns ist der Kunde König und wenn der IE verlangt, stellen wir uns nicht quer, sondern machen das, was möglich ist und erzählen ihm nicht, dass irgendwas nicht geht (einfach weil es nicht stimmt). Es geht grundsätzlich alles.
Ich weiß nicht, wie das bei euch läuft, vielleicht könnt ihr es euch leisten, wir können es nicht.
#96Report
20.12.2008
Ähm....das beantworte meine Frage irgendwie nicht ganz, oder? ^^
Ich will ja nichts von euren Kunden wissen, sondern was DICH vom IE überzeugt
Ich will ja nichts von euren Kunden wissen, sondern was DICH vom IE überzeugt
#97Report
20.12.2008
Also ICH verwende IE, weil ich seit 5 Jahren damit noch nicht ein einziges Problem hatte (im übrigen auch keinen geglückten Angriff). Ergo never change a running system.
Der Funktionsumfang langt mir völlig, also nenn mir einen anderen wichtigen Grund, umzusteigen?
BTW: Vom Speed her hat mich FF nie überzeugt. Mag sein, dass er nach dem Startup schneller ist, aber bis er soweit ist, vergeht eine gefühlte Ewigkeit. IE ist durch diverse Vorladereien einfach auf "plop" sofort da. So will ich das haben und so sollte das auch sein. Resourcenmäßig hat der FF seit V3 wieder deutlich zugelegt - also auch kein Argument mehr.
Der Funktionsumfang langt mir völlig, also nenn mir einen anderen wichtigen Grund, umzusteigen?
BTW: Vom Speed her hat mich FF nie überzeugt. Mag sein, dass er nach dem Startup schneller ist, aber bis er soweit ist, vergeht eine gefühlte Ewigkeit. IE ist durch diverse Vorladereien einfach auf "plop" sofort da. So will ich das haben und so sollte das auch sein. Resourcenmäßig hat der FF seit V3 wieder deutlich zugelegt - also auch kein Argument mehr.
#98Report
[gone] MARKUS WUESTEFELD PHOTOGRAPHY
20.12.2008
Man sollte jedem das lassen was er nehmen möchte und womit er am besten arbeiten kann - so wie Du Dich hier auslässt möchte man meinen Du bist ein FF Fanatiker :o) Jeder soll so glücklich werden wie er mag und ich mag den IE und den Hausfrauenbrowser hab ich auch drauf aber nutze ihn nicht ausser zu testzwecken
Jedem womit er arbeiten möchte und arbeiten kann !!!
off topic
Irgendwie erinenrt mich dieser Thread an meinen Kurs damals zum Microsoft zertifizierten Moorhuhn entertainer (MCSE) wo auch einige jasminteetrinkende Jesuslatschenträger teilnahmen die sich immer über die NSA aufregen und klagten wie scheisse Microsoft ssei - Warum die dann den MCSE machen wollten konnte ich nicht nachvollziehen
off topic ende
Jedem womit er arbeiten möchte und arbeiten kann !!!
off topic
Irgendwie erinenrt mich dieser Thread an meinen Kurs damals zum Microsoft zertifizierten Moorhuhn entertainer (MCSE) wo auch einige jasminteetrinkende Jesuslatschenträger teilnahmen die sich immer über die NSA aufregen und klagten wie scheisse Microsoft ssei - Warum die dann den MCSE machen wollten konnte ich nicht nachvollziehen
off topic ende
#99Report
20.12.2008
Original von Rico1973
Also ICH verwende IE, weil ich seit 5 Jahren damit noch nicht ein einziges Problem hatte (im übrigen auch keinen geglückten Angriff). Ergo never change a running system.
Nun, das Gleiche gilt für mich mit FF ;)
Das mit der Ladezeit stimmt, aber das mit dem Resoucen-Verbrauch scheint nicht ganz richtig zu sein:
Browser Performance verglichen
Bevor hier übrigens was Falsches angenommen wird:
Ich bin ausgebildeter MCTS (Microsoft Certified Technolgy Specialist), verwende ausschließlich Microsoft Betriebssysteme und entwickle größtenteils in MS.NET.....also weit davon entfernt ein MS Hasser zu sein.
Das hält mich aber nicht davon ab, mich auch in anderen Richtungen umzusehen, sofern für mich vernünftige Alternativen existieren.
So verwende ich z.B. auch Directory Opus statt dem Windows Explorer und Photoshop statt MS.Paint ;)
#100Report
Topic has been closed
Ja, ich hinke momentan im Newsticker ein wenig hinterher ;-)
Die Studie sagt leider nicht wirklich etwas über die Qualität der Software aus, da sie nur Software abbildet, die nicht über einen zentralen Dienst (z.B. Microsoft WSUS) aktualisiert werden kann. Ansonsten sagen sie selbst, daß diese Lücken bereits geschlossen wurden.
Es wird nur vor Firefox gewarnt, weil es sein könnte, daß neueste Versionen nicht zeitnah eingespielt werden.
Das wirkt sich hauptsächlich nur für große Firmen mit zentralem Updatemanagement aus und nicth für den Privatanwender.
Firefox bietet aber ebenso einen automatischen Updatedienst....das wird hier überhaupt nicht berücksichtig.
Aber is mir sowieso egal....wenn ihr Firefox nicht einsetzen wollt, dann benutzt Opera ;-)