News Sicherheitslücke im Internet Explorer entdeckt

[Christoph]

Wie am gestrigen Dienstag bekannt wurde, ist in Microsofts „Internet Explorer“ eine neue Sicherheitslücke aufgetaucht. Entdeckt wurde diese vom Sicherheitsunternehmen Sunbelt und soll bislang verstärkt auf russischen Pornoseiten genutzt werden. Durch diese kann unbemerkt Spyware auf einem voll gepatchten Windows-System installiert werden.

Zur News: Sicherheitslücke im Internet Explorer entdeckt

 

[mahn]

... oder einfach nicht auf russischen Pornoseiten surfen

 

[flooo]

code:
regsvr32 -u "C:\Programme\Gemeinsame Dateien\Microsoft Shared\VGX\vgx.dll"

wird wohl in deutschland und der schweiz eher zutreffen als der oben genannte

 

[mahn]

noch einfacher und regional unabhängig:

regsvr32 -u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll"

 

[baFh]

wollen die kollegen von M$ eine extrem kritische sicherheitslücke mal wieder 4 wochen offen lassen? *schuettel kopf* andere browserentwickler sind da schneller und flexibler.

baFh

 

[PCB]

Oder noch einfacher DropmyRights benutzen, schon interessieren die ganzen IE-Löcher nicht mehr!

@baFh: Andere Browserentwickler müssen auch keine installierte Basis von ungefähr 300 Mio PC's berücksichtigen! Beim FF sind /werden mit steigender Nutzerzahl ähnliche Löcher auftauchen, deren Patche dann auch ausgiebig getestet werden sollten (Ob die OpenSouce-Gemeinde dazu personell in der Lage ist, steht noch auf einem anderen Blatt! )

 

[baFh]

Das hat nichts mehr mit der News-Meldung zu tun...

was sucht dein post dann hier? nervöses fingerzucken?

@topic
andere browser müssen nicht zwingend der ff sein

ausserdem denke ich, ist M$ eben gerade wegen der enormen verbreitung ihres browsers zu einer schnelleren reaktion verpflichtet.

baFh

 

[MountWalker]

Microsoft kann sich keine Hin und Hers leisten, wie es Mozilla im alltag handhabt. Wir haben bspw. im FF 1.0 Zyklus eine Javascript-Lücke erst verschwinden und dann plötzlich wieder auftauchen sehen, womit sie erneut geschlossen werden musste.

Es gibt unterschiedliche Handhabungen von Sicherheitslücken, andere reagieren eben lieber schnell, Microsoft testet lieber ausgiebig ob mit den Änderungen zur Schließung der aktuellen Lücke nicht andere Probleme geschaffen werden. Sicherlich treten trotz aufwendigerem Testen auch bei Microsoft manchmal solche Lückenwiederholungen auf, allerdings wäre es unlogisch deshalb gleich zu schlussfolgern das ausgiebigere Testen hätte überhaupt keinen Effekt. In der Unternehmenswelt wird das ausgiebigere, langzeitigere Testen von Sicherheitspatches durchaus begrüßt.

Es geht mir hier nicht darum zu erklären welches Reaktionsmodell mir besser gefällt, es geht mir hier darum zu zeigen, dass Microsoft hier nicht nichts tut, sondern Arbeit leistet. Das hat Vor- und Nachteile, die User haben hier aber die Wahl, sie sind im Internet nicht an einen speziellen Browser gebunden - wann immer mir jemand eine solche Seite zeigt, die irgendwie bedeutend ist und angeblich nur in IE laufen soll, sehe ich, dass sie bei mir in FF völlig normal funktioniert.

Wenn ihr das Reaktionsmodell auf Sicherheitslücken von Microsoft nicht wollt und die Schnellfix-Methode bevorzugt, dann nutzt halt einen anderen Browser, aber ihr müsst deshalb nicht bei jeder Sicherheitslücke unter die News geflamet kommen, als würde Microsoft nichts tun.

 

[snif96ter]

Der Firefox hat übrigens mittlerweile mehr Lücken als der Internet Explorer. Der Code von FF ist einfach viel zu groß geworden.

http://golem.de/0609/47695.html

 

[meph!sto]

Irgendwie ist es nichts Besonderes mehr, so eine Meldung zu lesen.
Kommt doch fast wöchentlich.
Irgendwie traurig.
MfG

 

[Mr. Snoot]

Was deaktivier ich denn sonst noch mit der dll-Datei? Oder ist die selbst ausschließlich für die Lücke verantwortlich

 

[-Sisko-]

@9:
das traurige ist, dass CB diese news wohl unterschlägt. ich lese nur sicherheitslücke in windows, ie erneut unsicher bla blub..
firefox ist keinen deut besser.

 

[h3@d1355_h0r53]

Zitat entfernt, da es durch eigene Formatierung und Zeichensetzung verändert wurde.

so, danke für diese steilvorlage.
zu 1) klar testen die, sowas machen die von mozilla und opera und und und aber auch. ABER bei microsoft gab es schon öfters durch einen patch probleme in anderen bereichen, so wurde zwar eine sicherheitslücke geschlossen (funktionierte auch nicht jedes mal), dafür 2 neue scheunentore geöffnet...
2) jeder halbwegs intelligente admin hat das system/netzwerk so oder so abgeschottet im unternehmen. die testphase interessiert dabei kaum jemanden. die patches werden eh nicht sofort eingespielt. vielmehr wird gewartet, ob der patch "ok" ist und keine probleme verursacht - dies kann man erst nach der veröffentlichung erkennen, egal wie gut getestet wurde, wie uns die realität zeigt. zudem besteht das patchen eines aus mehreren systemen bestehenden netzwerks aus einer menge arbeit und erfolgt im regelfall auch nicht direkt nach dem release des patches, sondern erst nach einer gewissen planungszeit. zudem gibt es genug unternehmen, kleine wie große, die alles wichtige unter linux am laufen haben, und die windows pcs lediglich als workstations für die mitarbeiter bereitstehen. begrüßen würden es unternehmen, ausgiebig getestete software zu kaufen anstatt ausgiebig zu patchen.
3) viele hier nutzen einen anderen browser und sind mit den schnellen fixes sehr zufrieden. bei microsoft dauert sowas (man betrachte aktuelle sicherheitslücken) dann 2-3 monate, sicherheitslücke wird am tag nach patchday erkannt, nächsten patchday gibts nen patch, und nochmal nen monat später gibts dann den patch für den patch. sorry, da lad ich mir lieber 2 mal in der woche nen patch für mein firefox runter und gut is[punkt]
4) niemand sagt hier microsoft tut nichts. sie machens nur falsch.

 

[Lord Homer]

das einzige prob ist nur die patchs vom firefox können so schnell kommen wie sie wollen wenn dann aber danach immer noch so viele fehler da sind
http://golem.de/0609/47695.html
warum findet man solche news ist hier bei computerbase ???? 71 potenzielle Sicherheitslücken im Firefox na wenn das keine news wert ist hier wird doch schonst über jede kleinigkeit beim windows oder iE ganze news verfasst wie schlecht das doch alles ist

 

[Thaquanwyn]

... mich persönlich kann das kaum verwundern, WinXP ist und bleibt nun einmal ein gewisses Sicherheitsrisiko.
Das muß man halt wissen und sich klar darüber sein, daß daran weder die diversen Servicepacks noch die monatlichen Patch-Days jemals etwas ändern werden.
Trotzdem kann man damit leben, einige Vorsichtsmaßnahmen vorausgesetzt, man darf halt nur nie die Realitäten vergessen.

P.S.: ... deshalb bin ich gespannt, ob sich mit Vista daran etwas ändert ...

 

[w0mbat]

@Lord Homer: 71 Potentielle Sicherheitslücken sind sehr wenig, kannste mal schauen wieviel der IE hat. 5000?

 

[da tei]

@9 meph!sto
Ganz genau das wollte ich sagen. News sind eigentlich ja Neuigkeiten, aber Sicherheitslücken im IE sind halt nicht neu :
Und imho haben IE Patche (trotz längerer Testphase) immer viel mehr Probleme als FF-Patches, wo Firefox danach auch noch läuft.

 

[Peakyl]

@13
Das sehe ich auch so.
Es werden immer nur Fehler von Microsoft an die große Glocke gehangen.
Und dann hacken wieder alle auf ihrem "Lieblingsfeind" Microsoft ein.

 

[MountWalker]

...
ABER bei microsoft gab es schon öfters durch einen patch probleme in anderen bereichen, ...

... Sicherlich treten trotz aufwendigerem Testen auch bei Microsoft manchmal solche Lückenwiederholungen auf, allerdings wäre es unlogisch deshalb gleich zu schlussfolgern das ausgiebigere Testen hätte überhaupt keinen Effekt.

Schön, dass ich darauf bereits eingegangen war, bevor du deine Anwtort einsendetest.

... vielmehr wird gewartet, ob der patch "ok" ist und keine probleme verursacht - dies kann man erst nach der veröffentlichung erkennen, egal wie gut getestet wurde, wie uns die realität zeigt. ...

Es sagt niemand, dass die "Nachtestphase" überflüssig wäre, ich habe das auch nirgends gesagt, nur ist es eben einfach nicht so, als hätte ausgiebigeres Testen null Effekt. Eine Nachtestphase ist schön und gut, wenns vorher aber nie eine ausgiebige interne Testphase gab gibt es Unterschiede in der Häufigkeit des Fehlerentdeckens - die Lückenwiederholung innerhalb der 1.0-Reihe von Mozilla Firefox ist nur ein Beispiel.

IE hat andere Probleme die Fehler häufen. Das ist im Wesentlichen die Codemasse, was es sicherlich auch schwieriger macht Eventualitäten beim Patchen auszuloten. Das hat aber nichts mit der Patching-Strategie zu tun.

... zudem besteht das patchen eines aus mehreren systemen bestehenden netzwerks aus einer menge arbeit

Microsoft bietet deswegen einen Patchday an, für mehr Planungssicherheit. Es geht hier nicht darum, ob das "Der richtige Weg" sei, es geht hier darum, dass es einen Lösungsansatz gibt. Dieser ist anders als bei manch anderem Softwareanbieter, aber deswegen haben wir ja auch verschiedene Anbieter - wenn alle immer den gleichen Weg einschlagen und alles auf die selbe Weise lösen würden bräuchten wir nicht mehrere Anbieter.

... begrüßen würden es unternehmen, ausgiebig getestete software zu kaufen anstatt ausgiebig zu patchen.

Toll, jetzt verlangst du genau das Gegenteil von dem, was du weiter oben forderst - was denn nun, sollen die Patches ausgiebiger getestet werden oder sollen sie nach einem Tag Testphase so schnell wie möglich raus? Diese zwei Dinge schließen sich gegenseitig aus, du kannst nicht gleichzeitig Sommer und Winter verlangen.

... sorry, da lad ich mir lieber 2 mal in der woche nen patch für mein firefox runter und gut is[punkt]

Und wer bitte soll dir das hier abgeredet haben? Ich habe mehr als überdeutlich gesagt, dass eben jeder, der das Schnellfixmodell bevorzugt, einen anderen Browser nutzen kann - ich habe quasi jene Leute dazu aufgefordert. Also wo ist dein Problem?

 

[Siberian..Husky]

was soll den an dem artikel von golem "news" sein? und vorallem wo ist da der vergleich zum internet explorer?

da wurde ein automatisches tool über den quellcode gejagt, und das meint das da fehler sind. das heist noch lange nicht das dort tatsächlich welche sind. abgesehen davon sagt das absolut nichts über den typ der fehler aus - eine zahl alein sagt schließlich absolut nichts aus. schon alein weil es keinen standard gibt nachdem gezählt wird (ist jede nutzung eines pointers nach dem delete ein fehler, oder ist das nur ein großer fehler!? was ist überhaupt der fehler? die nutzung nach dem delete, oder das zufrühe aufrufen von delete?).

und wie kommt ihr dadrauf das wären mehr als beim internet explorer? wurde der code mit dem selben programm untersucht?


solche zahlen sagen absolut NICHTS. man kann bugs oder sicherheitslücken einfach nicht vergleichen. schon garnicht wenn sie automatisch ermittelt wurden.