News Patchday: Kritisches Update veröffentlicht

[Bisumaruku]

Hmmm ich mag FF überhaupt nicht. zu langsam und zu sehr an die Richtlinien geknüpft (W3C etc.)

Außerdem jetzt so einen Wind drum machen und sich einpieseln wo die Lücke schon im IE5 drin ist und wir IE User seit Jahren mit rumsurfen. Also wen juckt es. Zudem brause ich derzeit mit "Iron" rum. Der gefällt mir sehr gut ;-)

 

[MikeSunShine]

Zeit wirds noch länger Firefox ertrag ich nicht!!!

 

[xlslx]

@appleyard & vander:

was seid ihr für kinder, sry echt. ich programmiere schon seid 8 Jahren diverse Sprachen und auch relativ große Projekte, Websites und auch Desktop-Apps.

Und ihr denkt echt nicht weit genug: Es geht nicht darum den Code für WINDOWS zu kennen sondern den vom IE und der is nicht so umfangreich wie Windows -> und leute mal ehrlich: die MS Leutz WISSEN wo der Exploit ansetzt, und zwar ganz genau, und damit ganz genau was man im Code an welcher Stelle (zumindest ungefähr mit 1h suchen). also kann sowas grad für den IE innerhalb eines Tages gepatcht werden, eure Argumente sind hier fehl am platz und völlig falsch! Wenn ihr aber darauf besteht dann kann ich euch nicht helfen, Sry!

Und nein ich denke nicht das 1 prog 10 tage usw. aber nungut.....wer meine argumentation nicht versteht sollte nachfragen bevor er voreilig urteilt, grad auch was meine Kompetenz angeht!

Gruaa

PS: Ich habe keine lächerliche "Ausbildung" als Syadmin gemacht sondern studiert an einer Uni. Soviel dazu mit voreilig urteilen

 

[muesler]

Alle zerfetzen sich hier das Maul darüber, ob man nun IE oder FF benutzen soll, aber scheinbar hat hier keiner auch nur die geringste Ahnung, was denn der Exploit aus China eigentlich anrichtet bzw. wie er sich äußert. Dass der IE Sicherheitslücken (wie fast jede Software) hat, ist ja nun nix neues mehr...

 

[TonyC]

Was machen denn die Leute, die den Trojaner schon auf dem Rechner haben und es gar nicht wissen. Wird mit dem Patch auch der Trojaner gekillt?

 

[abulafia]

Die wird aktiv ausgenutzt. Und dass es eine seriöse, konkrete Warnung gibt, eine Software nicht zu benutzen, ist auch recht selten.

Das heutige FF Update schloss im übrigen auch drei kritische Lücken und einige andere. Genau wie das letzte Opera Update. Sicherer sind die Alternativen mit Sicherheit auch nicht. Wichtig ist eigentlich nur, dass öffentlich bekannte und ausgenutzte Lücken möglichst schnell geschlossen werden.
Und die Reaktionszeit von MS war in diesem Fall noch okay. Dass es ein paar Tage dauert ist vollkommen normal, schließlich durchläuft auch ein dringender Patch die üblichen Entwicklungsstationen.

 

[CoolHandLuke]

Mich verwundert die Verzögerung bis die Meldung über diesen Exploid auch die Massenmeiden wie Spiegel-Online und Co (aber auch CHIP, Computerbild, Focus, ...) erreichte, während heise z.B. offenbar zeitnaher mit ihren Meldungen und Warnungen war. Da liegt knapp eine Woche dazwischen! Gerade hier wäre etwas mehr Offenheit in der Informationspolitik wünschswert gewesen. Wer weiß, wie viele seit Oktober bzw. seit dem offiziellen Bekanntwerden der Lücke (letzte Woche) diesem Exploid zum Opfer gefallen sind.

Meinen Mitarbeitern und Kollegen rate ich, auch privat auf den IE zu verzichten und Werbeblocker (wie AdblockPlus) zu installieren.

 

[muesler]

Und was macht nun der Exploit aus China? Kann mir das mal einer sagen? Bzw. woran merkt man, dass man den hat?

 

[Boogeyman]

ff benutzt >> besser als der protected mode und die benutzerkontensteuerung von windoof

Man sieht das du überhaupt keine Ahnung hast! Jeder Browser hat Lücken, auch dein toller Firefox. Auch würde ein eingeschränktes Benutzerkonto auch deinen Firefox beschützen!

 

[muesler]

Ist doch echt pupsegal, ob FF oder IE oder Opera besser ist... Ich will jetzt einfach mal wissen: was macht der Exploit aus China bzw. woran erkennt man den...

 

[CoolHandLuke]

Naja, der Fehler in der XML Verarbeitung des IEs von Webseiten kann dazu ausgenutzt werden, auf dem PC des "Opfers" beliebige Anwendungen mit den Rechten des Users ausführen zu können. So wäre z.B. denkbar, weitere Dateien (Trojaner, Spyware und Co) aus dem Netz nachzuladen.

Das tolle an diesem Bug: der Benutzer merkt es gar nicht und muss auch auf nichts klicken.

Noch toller: gekarperte - seriös wirkende - Webseiten können genauso "verseucht" sein.


(heise):
»Auf Milw0rm ist ein harmloser Exploit erschienen, der zu Demonstrationszwecken den Windows-Taschenrechner öffnet. Ersten unabhängigen Analysen zufolge beruht die Lücke auf einem Fehler in der Bibliothek mshtml.dll bei der Verarbeitung von SPAN-Tags in präparierten XML-Dokumenten. Der echte Exploit teilt sich in drei Teile auf und nutzt Heap Spraying, um zunächst den Schadcode im Speicher zu verteilen und später anspringen zu können. Da der Exploit dafür JavaScript verwendet, hilft es als temporäre Maßnahme, JavaScript zu deaktivieren.

Die Erkennung des Exploits durch Virenscanner lässt derzeit noch zu wünschen übrig. Nur wenige Hersteller erkannten den Angriff. Für das Intrusion Detection System Snort sind indes Regeln erschienen, mit denen die Erkennung eines Angriffs funktionieren soll. «

 

[Timmey92]

Ist doch echt pupsegal, ob FF oder IE oder Opera besser ist... Ich will jetzt einfach mal wissen: was macht der Exploit aus China bzw. woran erkennt man den...

das ist den meisten pupsegal
hauptsache ff vs IE ...

fanboy gehabe halt

interessiert mich aber auch, da ich beide zu ca. gleichen teilen nutze ( öfter ff )

 

[Xanthor1992]

Wann kommt denn das Update?

Per Automatisches Update von Windows??

 

[candy532]

Bei mein eigenen Rechner zeigt er mir das neue Update (noch) nicht an.
Allerdings bei einen anderen Computer schon seit 12 Uhr...

Habt ihr eine Ahnung warum der mir das bei http://update.microsoft.com/microsoftupdate/v6/default.aspx?ln=de nicht anzeigt?

 

[riDDi]

wenn ich n Programm oder ne Website programmiere, kenn ich den Code und wenn ich einen Exploit habe und WEISS wie der funktioniert weiß ich doch eigentlich sofort wie ich mein Programm ändern muss ums zu beheben - sowas sollte innerhalb eines Tages, grad bei so vielen Programmierern bei MS machbar und auch pflicht sein und nicht noch ne knappe Woche warten.

Na da fängts ja schon an, wenn ich etwas programmiere
Bei MS sitzen aber, wie du selbst sagst ein paar mehr Leute.
U.U. wechselt das Personal.
Jetzt stellen wir uns nochmal vor, dass hier teilweise Code verwandt wird, der schon zig Jahre auf dem Buckel hat (btw. sollte man dann eigentlich meinen, dass der schon gereift ist und gut/sicher funktioniert; lol).
D.h. es wurde irgendwann evtl. mal eine Doku geschrieben und dann wurden viele Module zigfach geändert. Bei MSs Reputation in Sachen stabile und fehlerfreie Software gehe ich mal davon aus, dass bei der Doku genauso geschlampt wurde
Also sitzt du da als Entwickler und kennst das Symptom und versuchst anhand des Codes und veralteter Doku die Ursache zu finden.

In einer perfekten Welt würde eine solche Analyse einen kurzen Blick in einige Dokumente bedeuten

Stichwort: Traceability Matrix.

 

[Gu4rdi4n1337]

ich weis ja nicht was hier einige denken, aber geschlampt wird bei MS denke ich nicht so stark wie hier angenommen

und dass die doku nicht ordnungsgemäß geführt wird glaube ich auch nicht.

was mich interessiert ist, wirkt der exploit auch durch einen router mit hardware firewall?

 

[X_FISH]

Außerdem jetzt so einen Wind drum machen und sich einpieseln wo die Lücke schon im IE5 drin ist und wir IE User seit Jahren mit rumsurfen.

Hm... Du könntest das ja mal im Selbstversuch nachstellen: Du kannst jahrelang gegen einen elektrischen Weidezaun pinkeln und es passiert nichts - aber wehe jemand kommt mal auf die idee den Generator anzuwerfen (bzw. ein Sicherheitsleck auszunutzen). Dann wird's evtl. kribbelig - oder gar schmerzhaft.



Grüße, Martin

 

[ullen]

hi

1. wie kann man den ie updaten?

2. was kann genau passieren wenn man es so belässt?

3. betrifft diese lücke auch den ie auf windows vista home?

wäre sehr dankbar für antworten.


mfg ullen

 

[b|ank0r]

>> Wichtiger Hinweis <<​

ich wollte nur anmerken das Microsoft seit 19°°Uhr anscheinend die Updates für den Internet Explorer bezüglich des Exploit-Codes online gestellt hat.

Habe soeben über Windows Update das Update

Security Update for Internet Explorer 7 for Windows XP (KB960714)

für Windows XP zugewiesen bekommen. Sollte somit von nun an auch für alle anderen Windows- und Internet-Explorer-Versionen verfügbar sein

 

[dMopp]

Selbiges für Vista x64. Updates sind verfügbar (über Autoupdate)