News Erste Sicherheitslücke im Internet Explorer 7

ich frag mich wie man sowas dämliches rausfindet... durch normales surfen sicherlich nicht.

wenn ich das mal zusammenfasse :

- man hat ein browserfenster geöffnet und eingestellt das man auf inhalte über domänengrenzen zugreifen will(was schonmal nicht standard ist !).
- dann hat man 2 tabs offen
- eins davon ist z.b. die seite einer bank wo man gerade eingeloggt ist
- das andere ist eine böse website, die, solange das andere tab da ist und man eigenloggt ist, darauf zugreifen kann.

dabei sollte man erwähnen :
- der user hat diese funktion selbst freigegeben
- die böse website muss EXAKT die seite angeben die sie über den nutzer angreifen will um daten zu erfahren
- der nutzer muss so doof sein gleichzeitig eine wichtige seite eingeloggt zu besuchen und nebenher noch auf dubiosen seiten rumzusurfen

man muss schon sagen, eine riesige sicherheitslücke. am besten ich gebe gleich "format c" ein damit mir ja nichts passiert.

ps : wenn ich wieder erwarten was falsch verstanden habe, schlagt mich nicht, so geht es aus dem text oben hervor.
 
Hat doch irgendwie recht lange gedauert, schließlich ist jetzt schon der Mittag nach dem Release... mich hätte es nicht gewundert, wenn die ersten Lücken kurz nach Release aufgetaucht wären
 
@Realsmasher: Das ist exakt das Phänomen Cross-Site-Scripting, hast du richtig erkannt. Deswegen wird auch überall von "wenig kritisch" geredet. Die Lücken des Firefox die meikel meint zu kennen, sind hauptsächlich solche kaum nutzbaren Probleme. Also kein Weltuntergang, aber zumindest erwähnenswert, das die Verwandtschaft zum IE6 leider doch recht nah ist, bei exakt dem gleichem Problem.
 
jetzt unabhängig von der sicherheitslücke, abr hiess es nicht dass der IE7 komplett neu geschrieben wurde????

so wies nun aussieht, kommt es mir so vor als ob die MS entwickler ein bisschen zu faul waren und ein bisschen Copy Paste geübt haben :p

anmerkung am rande: hätte ich wohl auch getan :D
 
ob die sicherheitslücke nun gross ist oder nicht ist im prinzip egal. ms sollte doch langsam mal in der lage sein, ein produkt zu veröffentlichen, welches nicht gleich nach einem tag gepatcht werden muss. ich finde das einfach nur traurig.

ps: leider ist ja nicht nur ms so, sondern auch ea, wie man bei bf2142 sehen kann :(
 
Testet Microsoft eigentlich nicht seine eigenen Produkte? Es kann doch nicht sein, dass die jahrelang an dem IE7 arbeiten und versuchen die ganze Zeit Sicherheitslücken zu vermeiden und dann einen Tag nach dem Release wird sofort eine gefunden.
 
Hat irgend einer von euch Schreihälsen die Demo überhaupt mal getestet ?
Man öffne den Browser direkt mit der secunia-Webseite als Startseite und führe den Test aus. Was zeigt Secunia dann an ? Im Context des Browsers befände sich news.google.com was eigentlich garnicht sein kann , ich halte die Sicherheitslücken-Meldung für blanken Schwachsinn und reine Fälschung.
 
@ 12) Mortiss
Tja deswegen warte ich bis IE7 über das Windowsupdate verfügbar ist. Bis dahin verwende ich nur Firefox.
Wenn du eine englische Version des IE7 hast, dann kannst du den nicht auf deutsch umstellen. Die deutsche finalversion ist nämlich noch gar nicht fertig.

@Topic
Die engl. sprachigen Kunden kriegen doch immer alles zuerst von MS und sind somit auch immer ihre persönlichen Versuchskaninchen. Aber na-ja, die Lücke ist nicht so kritisch und ziemlich leicht zu umgehen. Wenn man sich auf irgend einer Seite befindet, wo man persönliche Daten hinterlässt, dann einfach keine weitere I-Net Seite offen haben. Zumindest keine, von der man nicht weiß, ob sie sicher ist.
 
@Vogayer10: Es kann eben nicht sein, was nicht sein darf. Oder wie?

Aber es wird immer besser, jetzt ist es nicht nur Publikums wirksam zum Release gekommen, nein jetzt ist auch noch eine Fälschung. Aber du sagts es genau richtig, eigentlich kann das gar nicht sein. Ist aber da, und von vielen Stellen bestätigt inzwischen.
 
@HappyMutant

Ich wette das zeigts bei jeden an "news.google.com" obwohl keiner die Seite offen hatte. Was willst du daran wissenschaftlich bewahrheitet haben wollen ? Das alle zu doof sind und nicht wissen was sie aufklicken ? Das trifft bestimmt nicht zwangsweise auf alle zu lol
 
Merkwürdig ist der Zeitpunkt dieser Meldung schon, hatte man doch reichlich Zeit, die Betaversionen des IE7 zu überprüfen. Wie auch immer, einen 'sicheren' Browser gibt es de facto (noch?) nicht, wenn man auf übliche Extras nicht verzichten will oder kann.

So wie sich mir das darstellt, stellt diese Sicherheitslücke kein gravierendes Problem dar. Jedenfalls verstehe ich nicht, warum sofort ein Produkt schlechtgeredet werden muss, zumal die Konkurrenz auch nicht frei von Fehlern ist. Der Anwender kann sich jedenfalls nicht aus seiner Verantwortung stehlen, wenn er unbedarft quer durch das Web surft.
 
Jungs jetzt is doch alles mal wieder ok?! Wisst ihr eigentlich wie ein Internet Explorer aufgebaut ist? Das is nich einfach ein Programm wo ein Fensterchen erscheint und dann aus dem Code "<a href>..." eine blaue schrift bastelt und die dann noch unterstreicht. Ein so riesiges Projekt kann man nicht "Buglos" programmieren. Wie schon von Realsmasher geschrieben wurde, ist dieser "Fall" mehr ein Dau als ein Browser problem! Klar ich denke das dieser Bug "reapiert" werden muss! - spätestens mit dem nächsten Bulletin - aber tut nicht gleich so als wuerde der IE nichtmal ansatzweise das tun, was er sollte! Ihr wisst es ja jetzt, also macht einfach nicht den Fehler und oeffnet alles gleichzeitig!

Ich will hier jetzt nich irgendwie was gegen FF sagen - ich nutze ihn ja selber! - aber er is ja auch nich fehlerlos, oder?! Gerade Browser usw. sind einfach - wegen ihrer RIESIGEN Flexibilität - sehr schwer zu "testen". Oder hat von euch schonmal jemand das ganze geoffnet und selbst gesehen dass FF alles richtig interpretiert?

Auch das mit dem "der IE 7 sollte doch ganz neu geschrieben werden...". Warum soll man denn das Rad immer wieder neu erfinden?! Ich denke es wurde zwar viel neuer Syntax entwickelt fuer den IE7, aber mit sicherheit nicht ALLES.

So und jetzt bitte nicht niedermachen und schlagen. Die Welt is ja noch heile!
 
Zuletzt bearbeitet:
Und wieder Regen sich alle auf wenn ein M$ Produkt eine sicherheitslücke hat, aber wenn FF oder Opera oder MacOSX BS mal ne sicherheitslücke hat ists egal. Ich versteh nicht warum immer alle auf M$ rum "Hacken". Ich denke andere Programme/Browser die nicht von M$ stammen hätten genau so viele Sicherheitslecks, aber leider Konzentrieren sich die Hacker numal auf M$ Produkte.
 
@Voyager10:

Bloß weil du das Problem nicht verstanden hast, heißt das nicht das es kein Lücke ist.

Aber nochmal für dich, der die News nicht lesen und verstehen will. Also ich klicke auf einer beliebigen dubiosen Webseite einen Link an. Feinstes Javascript. Dieses Script liest dann von einer anderen Domain Infos aus, obwohl es das nicht dürfte. Harmlos sagst du. Wenn ich in einer Browser-Instanz bei einer Webseite angemeldet bin, dann wäre jedes neue Tab oder Fenster was ich aufmache dort ebenfalls angemeldet, weder Seite noch Browser unterscheiden da. So wenn jetzt also das Skript über meinen Browser auf die eigentlich Login-pflichtige Seite zugreift, dann ist die Seite für ihn offen, weil sie denkt der User ist ja angemeldet. Und damit sind potentiell Daten von der eigentlich unzugänglichen Seite innerhalb einer Instanz auslesbar. Das news.google.com Beispiel zeigt nur das es möglich ist, von fremden Domains Daten zu lesen. Dazu muß die Domain nicht offen sein. Aber wenn du dort angemeldet sein müßtest, dann müßte sie schon offen sein, um für das Script nutzbar zu sein.

Ps: Ich hoffe du verstehst was ich meine. ;)

@PS3man: Ja wir wissen es, du bist MS-Fan, kein Problem. Aber versuch mal deine Vorurteile zu verifizieren. Es stimmt einfach nicht das sich keiner beschwert wenn in anderen Browsern Lücken entdeckt werden und es stimmt nicht das sich alles über MS aufregt. Und wenn du dir die Mühe machen würdest mal die Beiträge zu lesen, würdest du so einen Käse nicht unter jede News, wo es halbwegs passen könnte, schreiben. Und das arme Microsoft ist nicht Opfer der bösen Hacker, sondern Opfer seiner Sicherheitspolitik. Aber das soll ja mit dem IE 7 besser werden.
 
Zuletzt bearbeitet:
@#34
Alle hacken auf M$ (du ja auch, weil du '$' statt 'S' schreibst), weil sie den Markt dominieren. Und gerade deshalb schauen sich die Leute den ganz genau an.

Es ist wie im Sport. Der Erste, der ins Ziel kommt, wird erstmal auf Doping getestet. Ist doch nix neues.
 
@HappyMutant

upps, naja kann ja mal passieren, ich habs fürn cross-site-scripting gehalten :) Ich tuh das was kein anderer schafft, ich gestehe einen Irrtum :D
Auf der anderen Seite kann das Script relativ wenig mit der Verletzung meiner Datensicherheit anfangen bis auf die DoS Angriffe.
 
Zuletzt bearbeitet:
Naja ist es ja auch, aber Cross-Site-Scripting im gefährlichen Sinne ist es ja nur, wenn du eine wirklich sensible Seite zusammen mit der dubiosen offen hast. Im Grunde steht da einiges im Wege, und deswegen ist die Sache nicht so kritisch. Aber naja es geht halt irgendwie wenn man bestimmte Voraussetzungen schafft. DoS kriegt man hoffentlich so nicht hin, aber wer weiß. ;)
 
ihr wisst schon das der IE7 für XP nun nen verbesserter IE6 ist oder? Der richtige IE7 kommt im nächsten Jahr bei Vista, so hatte es MS doch ma gesagt
 
meikel schrieb:
nur suchen gewisse Kreise die Lücken immer nur im IE, da es auch weiterhin der am meisten verbreitete Explorer ist.
An der Aussage könnte durchaus was dran sein. :D
 
Zurück
Oben